CVE-2026-24858

22. Juni 2026 Fortinet hat letzten Freitag, am 19.5.2026, nun auch ein offizielles Statement zu "FortiBleed" veröffentlicht. Wir hatten zuvor in einem Blog-Artikel unseren aktuellen Wissensstand beschrieben. Bei dieser Angriffswelle handelt es sich nicht um die Ausnutzung einer neuen Schwachstelle. Die Angreifer:innen verwenden stattdessen Zugangsdaten, die bei früheren Sicherheitsvorfällen (u. a. im Zusammenhang mit CVE-2025-59718, CVE-2025-59719 und CVE-2026-24858) erlangt wurden, sowie Brute-Force-Methoden gegen Geräte mit schwacher Passworthygiene und ohne Multi-Faktor-Authentifizierung (MFA). Externe Sicherheitsforscher:innen berichten von einer großen Anzahl betroffener Geräte weltweit. Ursache für die hohe Erfolgsquote der Angriffe ist unter anderem, dass Administrator:innen-Passwörter auf FortiGate-Geräten bis zu den FortiOS-Versionen 7.2.11, 7.4.8 und 7.6.1 mit dem schwächeren SHA-256-Verfahren gehasht wurden. Auch nach einem Update auf eine neuere FortiOS-Version bleiben bestehende Passwörter so lange im älteren, leichter zu brechenden Format gespeichert, bis sich die jeweilige Administratorin oder der jeweilige Administrator nach dem Update erneut anmeldet. Erlangte Konfigurationsexporte ermöglichten es den Angreifer:innen, die darin enthaltenen Passwort-Hashes offline mittels Brute-Force-Angriffen zu kompromittieren.

EPSS 3.95% · 88.6th percentile