Home NDR Monitoring DNS Shield UEBA Analytics FORGE SOAR RECON Scanner Blog Firma Kontakt
arrow_back Zurück zum Blog
Threat Analysis15 Min. Lesezeit• 29. März 2026

FortiGate unter Beschuss: Wie Angreifer Firewalls kompromittieren und ganze Netzwerke übernehmen

Stefan Röthlisberger

Stefan Röthlisberger

Gründer & CEO, IRONATE

Seit Ende 2024 läuft eine der aggressivsten Angriffskampagnen gegen Perimeter-Infrastruktur, die die Security-Branche je gesehen hat. Im Zentrum: FortiGate Next-Generation Firewalls von Fortinet. Innerhalb von 15 Monaten wurden mindestens fünf kritische Schwachstellen aktiv ausgenutzt, über 600 Geräte in 55 Ländern kompromittiert, und Angreifer entwickelten Techniken, die selbst nach dem Patchen den Zugriff aufrechterhalten. Dieser Artikel rekonstruiert die Chronologie, analysiert die Angriffskette im Detail und zeigt, welche Lehren Unternehmen daraus ziehen sollten.

Die Chronologie: 15 Monate eskalierender Angriffe

Nov 2024
CVE-2024-55591 (CVSS 9.6) - Zero-Day-Ausnutzung beginnt. Authentication Bypass über das Node.js-WebSocket-Modul ermöglicht unauthentifizierten Angreifern Super-Admin-Rechte auf FortiOS und FortiProxy. Entdeckt von Arctic Wolf Labs.
Feb 2025
CVE-2025-24472 (CVSS 8.1) - Zweiter Authentication Bypass entdeckt, diesmal über manipulierte CSF-Proxy-Requests. Entdeckt vom watchTowr-Researcher «Sonny». Fortinet erweitert das bestehende Advisory FG-IR-24-535.
Apr 2025
Symlink-Persistenztechnik - Fortinet warnt: Angreifer erstellen symbolische Links in SSL-VPN-Sprachdateien, die das User-Filesystem mit dem Root-Filesystem verbinden. Dadurch behalten sie auch nach dem Patchen lesenden Zugriff auf Konfigurationsdateien. CISA veröffentlicht Alert.
Dez 2025
CVE-2025-59718 / CVE-2025-59719 (CVSS 9.8) - SAML-SSO-Authentication-Bypass durch fehlerhafte kryptographische Signaturprüfung. Betrifft FortiOS, FortiProxy, FortiSwitchManager und FortiWeb. Ausnutzung beginnt 3 Tage nach Disclosure. CISA nimmt die CVE in den KEV-Katalog auf.
Jan 2026
CVE-2026-24858 (CVSS 9.4) - FortiCloud-SSO-Authentication-Bypass: Angreifer mit einem FortiCloud-Konto können sich auf Geräte einloggen, die anderen Kunden gehören. Zwei bösartige Konten (cloud-noc@mail.io, cloud-init@mail.io) werden identifiziert und gesperrt.

Die Angriffskette im Detail: Vom Firewall-Exploit zum Domain-Takeover

Ein im März 2026 veröffentlichter DFIR-Bericht von SentinelOne dokumentiert zwei reale Vorfälle, die das volle Ausmass der Bedrohung zeigen. Die Angriffskette folgt einem klaren Muster:

Phase 1: Initialer Zugang und Persistenz

Die Angreifer nutzen eine der oben genannten Schwachstellen, um unauthentifiziert Super-Admin-Rechte auf der FortiGate zu erlangen. Anschliessend erstellen sie lokale Admin-Konten mit unauffälligen Namen wie support, ssl-admin, audit oder backup. Zusätzlich werden neue Firewall-Policies erstellt, die uneingeschränkten Datenverkehr zwischen allen Zonen erlauben - effektiv wird die Firewall ausgeschaltet.

Phase 2: Credential-Diebstahl - das Schlüsselproblem

Hier liegt der kritischste Punkt der gesamten Kette: FortiOS speichert Zugangsdaten in Konfigurationsdateien mit reversibler Verschlüsselung. Die Angreifer exportieren die Konfiguration über den Befehl show full-configuration und entschlüsseln die darin enthaltenen LDAP-Service-Account-Credentials.

In den dokumentierten Fällen wurde konkret der fortidcagent-Account kompromittiert - ein Service-Account, der für die Integration zwischen FortiGate und Active Directory genutzt wird und typischerweise über weitreichende AD-Leserechte verfügt.

warningKernproblem

FortiOS verwendet reversible Verschlüsselung für gespeicherte Credentials. Jeder Angreifer mit Zugriff auf die Konfigurationsdatei kann LDAP- und AD-Zugangsdaten im Klartext extrahieren.

Phase 3: Active-Directory-Übernahme

Mit den entschlüsselten Credentials authentifizieren sich die Angreifer am Active Directory. Im ersten dokumentierten Vorfall missbrauchten sie das AD-Attribut mS-DS-MachineAccountQuota, um eigene Workstations in die Domäne aufzunehmen. Die Rogue-Workstations trugen generische Namen wie WIN-X8WRBOSK0OF.

Im zweiten Vorfall ging es noch schneller: Nur 10 Minuten nach der Erstellung des Backdoor-Accounts auf der Firewall hatten die Angreifer bereits Domain-Administrator-Rechte.

Phase 4: Remote-Access-Tools und Malware

Für persistenten Zugriff unabhängig von der Firewall setzten die Angreifer zwei legitime Remote-Management-Tools ein:

  • arrow_rightPulseway - gehostet auf Google Cloud Storage (storage.googleapis[.]com/apply-main/)
  • arrow_rightMeshAgent - versteckt über Registry-Key SystemComponent=1, damit es nicht in der Softwareliste erscheint

Zusätzlich wurde eine Java-basierte Malware mit DLL-Sideloading eingesetzt, die über AWS S3 verteilt wurde und Beacon-Verbindungen zu den C2-Domains ndibstersoft[.]com und neremedysoft[.]com aufbaute.

Phase 5: NTDS.dit-Exfiltration - Game Over

Das endgültige Ziel: die NTDS.dit-Datenbank des Primär-Domain-Controllers. Diese Datei enthält sämtliche Passwort-Hashes aller Domain-Benutzer. Die Angreifer:

  1. Erstellten eine Volume Shadow Copy über WMIC
  2. Extrahierten NTDS.dit und den SYSTEM-Registry-Hive
  3. Komprimierten die Dateien mit makecab
  4. Exfiltrierten sie über Port 443 an 172.67.196[.]232 (8 Minuten Verbindungsdauer)
  5. Löschten die komprimierten Dateien nach der Exfiltration

Wer steckt hinter den Angriffen?

SentinelOne schätzt die Akteure als finanziell motivierte Initial Access Broker (IABs) ein - spezialisierte Kriminelle, die in hochwertige Ziele einbrechen und den Zugang anschliessend an Ransomware-Operatoren weiterverkaufen. Die unterschiedlichen Vorgehensweisen in den beiden dokumentierten Vorfällen deuten auf mindestens zwei separate Operatorgruppen hin.

Parallel dazu dokumentierte das AWS-Security-Team eine separate Kampagne eines russischsprachigen, KI-gestützten Akteurs, der zwischen Januar und Februar 2026 über 600 FortiGate-Geräte in 55 Ländern kompromittierte - in diesem Fall über exponierte Management-Ports und schwache Einzel-Faktor-Authentifizierung.

Das Logging-Problem: Warum die Firewall selbst nicht genug sieht

Ein wiederkehrendes Muster in den dokumentierten Vorfällen: Die Protokollierung auf den FortiGate-Geräten reichte für eine vollständige forensische Analyse nicht aus. In vielen Fällen konnte der genaue Zeitpunkt der initialen Kompromittierung nicht festgestellt werden.

Fortinet hat inzwischen spezifische Log-IDs veröffentlicht, die Unternehmen aktiv überwachen sollten:

Log-ID Ereignis
0100032001SSO-Admin-Logins
0100032095Konfigurationsdatei-Downloads
0100044547Admin-Account-Erstellung

Zusätzlich sollten auf Windows-Seite folgende Event-IDs überwacht werden:

Event-ID Ereignis
4741Neues Computer-Konto erstellt (Rogue Workstation)
4624 Typ 3/10Netzwerk-/RDP-Logins aus dem FortiGate-VPN-Bereich
5136Directory-Service-Änderungen

Sofort-Massnahmen für betroffene Unternehmen

priority_high
Firmware aktualisieren: FortiOS auf Version 7.6.2, 7.4.11, 7.2.11, 7.0.17 oder 6.4.16. Patches für alle genannten CVEs sind verfügbar.
search
Admin-Konten prüfen: Alle lokalen Admin-Accounts auf der FortiGate kontrollieren. Unautorisierte Konten wie support, ssl-admin, audit, backup, itadmin, secadmin sofort entfernen.
key
Credentials rotieren: Alle in der FortiOS-Konfiguration gespeicherten LDAP/AD-Zugangsdaten müssen als kompromittiert betrachtet und sofort geändert werden.
policy
Firewall-Policies prüfen: Auf neu erstellte Regeln mit source=all, destination=all kontrollieren - diese deaktivieren effektiv die Firewall.
link_off
Symlinks prüfen: SSL-VPN-Sprachdateien auf symbolische Links zum Root-Filesystem überprüfen. Fortinet bietet hierfuer spezifische Anleitungen.
visibility
Netzwerk-Sichtbarkeit erhöhen: Wenn die Firewall selbst kompromittiert ist, verliert man die primäre Sicherheitsschicht. Unabhängiges Netzwerk-Monitoring erkennt die lateralen Bewegungen, Credential-Missbrauch und Datenexfiltration, die in den FortiGate-Logs unsichtbar bleiben.

summarize Zusammenfassung

  • check_circle5 kritische CVEs in 15 Monaten - FortiGate-Firewalls sind ein primäres Ziel für Angreifer geworden.
  • check_circleDie reversible Verschlüsselung von Credentials in FortiOS-Konfigurationen ist der kritische Hebel, der den Sprung von Firewall- zu Active-Directory-Kompromittierung ermöglicht.
  • check_circleDie Angriffskette - vom Zero-Day bis zum NTDS.dit-Diebstahl - kann in unter 10 Minuten ablaufen.
  • check_circleInitial Access Broker verkaufen den Zugang an Ransomware-Gruppen weiter - das eigentliche Schadensereignis folgt oft erst Wochen später.
  • check_circleUnabhängiges Netzwerk-Monitoring ist essenziell, wenn die Firewall selbst nicht mehr vertrauenswürdig ist.

Quellen & Referenzen

  • • SentinelOne DFIR (März 2026): «FortiGate Edge Intrusions» - sentinelone.com
  • • Fortinet PSIRT Blog: «Analysis of SSO Abuse on FortiOS» - fortinet.com
  • • Rapid7 (Dez 2025): «Critical Vulnerabilities in Fortinet CVE-2025-59718 / CVE-2025-59719» - rapid7.com
  • • CISA Alert (Jan 2026): «CVE-2026-24858 Guidance» - cisa.gov
  • • Fortinet Advisory FG-IR-26-060: «CVE-2026-24858» - fortiguard.com
  • • Tenable Blog (Jan 2025): «CVE-2024-55591 Authentication Bypass Zero-Day» - tenable.com
  • • CISA Alert (Apr 2025): «Fortinet Post-Exploitation Technique» - cisa.gov
  • • AWS Security Blog (Feb 2026): «AI-Augmented Threat Actor Accesses FortiGate Devices at Scale» - aws.amazon.com
  • • BleepingComputer (Apr 2025): «Hackers Retain Access to Patched FortiGate VPNs Using Symlinks» - bleepingcomputer.com

Wenn die Firewall kompromittiert ist, braucht es eine zweite Sichtlinie

IRONATE NDR, DNS Shield und UEBA erkennen laterale Bewegungen, Credential-Missbrauch und Datenexfiltration - unabhängig davon, ob Ihre Firewall noch vertrauenswürdig ist.

Kostenlose Beratung anfordern arrow_forward