Startseite / Sicherheit
Sicherheit

Fortinet-Lücken: Warum CISA nur drei Tage gibt

Fortinet-Lücken: Warum CISA nur drei Tage gibt
← Alle Beiträge

Nicht jeder Angriff beginnt mit einer unbekannten Schwachstelle. Oft reicht ein Gerät am Rand des Netzes, ein offener Managementzugang, ein liegen gebliebener Patch und ein Satz Zugangsdaten, der längst hätte ungültig sein müssen.

Die neue CISA-Warnung zu Fortinet passt genau in dieses Muster. Die US-Cybersicherheitsbehörde hat am 16. Juli 2026 zwei kritische Schwachstellen in Fortinet FortiSandbox in ihren Katalog bekannter ausgenutzter Schwachstellen aufgenommen: CVE-2026-39808 und CVE-2026-25089. US-Bundesbehörden müssen bis zum 19. Juli 2026 patchen. Drei Tage sind im Behördenbetrieb kaum ein Zeitraum. In der Sicherheit ist es eine Ansage.

Die Hauptthese ist schlicht: Das Risiko liegt nicht nur in Fortinet oder in zwei einzelnen CVEs. Es liegt in der Kombination aus exponierter Netzwerkinfrastruktur, bekannten Lücken und kompromittierten Zugangsdaten. Wer diese drei Dinge zusammenbringt, muss nicht lange suchen, um Angriffswege zu finden.

Der kurze Patch-Takt ist die Botschaft

CVE-2026-39808 und CVE-2026-25089 sind unauthentifizierte OS-Command-Injection-Bugs mit einem CVSS-Wert von 9.8. Das ist die unangenehme Kategorie: geringe Komplexität, keine vorherige Anmeldung, potenziell Remotecodeausführung. Bei einem Produkt wie FortiSandbox, das in Sicherheitsarchitekturen verdächtige Dateien und Inhalte analysieren soll, ist das besonders heikel. Ein Sicherheitswerkzeug wird dann selbst zum Einstiegspunkt.

Der KEV-Katalog der CISA ist kein theoretisches Warnregister. Wenn eine Schwachstelle dort landet, geht die Behörde davon aus, dass sie aktiv ausgenutzt wird. Für US-Bundesbehörden wird daraus eine verbindliche Frist. Für Unternehmen außerhalb dieses Rahmens ist es keine formale Pflicht, aber ein ziemlich klarer Hinweis darauf, wie Angreifer die Lage einschätzen: Diese Lücken sind nicht nur interessant, sie sind brauchbar.

In großen IT-Umgebungen klingt Patchen leichter, als es ist. Edge-Geräte hängen oft an kritischen Datenpfaden. Sie sind in Hochverfügbarkeits-Setups eingebunden, werden von Dienstleistern betrieben, haben Wartungsfenster, Abhängigkeiten und manchmal wenig saubere Dokumentation. Genau daraus entsteht der Abstand zwischen verfügbarer Korrektur und tatsächlich geschlossener Lücke. Angreifer arbeiten in diesem Abstand.

Warum Edge-Geräte so attraktiv sind

Firewalls, VPN-Gateways, Sandbox-Systeme und Authentifizierungsdienste sitzen dort, wo interne und externe Netze aufeinandertreffen. Sie sehen viel Verkehr, verwalten Vertrauen und werden häufig aus dem Internet erreicht. Wer dort Kontrolle bekommt, ist nicht irgendwo im Netz. Er steht an einer Schaltstelle.

Das erklärt, warum Fortinet-Produkte immer wieder im Fokus stehen. CISA verfolgt insgesamt 28 Fortinet-Schwachstellen, die in den vergangenen Jahren aktiv ausgenutzt wurden. 13 davon wurden in Ransomware-Angriffen missbraucht. Diese Zahl sagt nicht, dass Fortinet allein ein Sonderfall wäre. Sie sagt, dass weit verbreitete Netzwerkinfrastruktur ein bevorzugtes Ziel ist. Angreifer suchen nach Geräten, die viele Organisationen einsetzen, die lange Laufzeiten haben und deren Fehlkonfigurationen oft erst nach einem Vorfall auffallen.

Der Unterschied zu einer klassischen Serverlücke ist operativ wichtig. Ein verwundbarer Webserver ist ein Problem. Ein verwundbares Edge-Gerät kann ein Vertrauensproblem für die gesamte Umgebung werden. Es kann Zugangsdaten berühren, Sessions vermitteln, interne Adressen kennen, Traffic spiegeln oder Wege in Segmente öffnen, die von außen nicht sichtbar sein sollten.

FortiBleed zeigt die zweite Spur

Die FortiBleed-Kampagne macht den Fall größer als zwei FortiSandbox-CVEs. Mitte Juni 2026 wurde bekannt, dass Zugangsdaten für mehr als 73.000 bis 86.644 internetexponierte Fortinet-Geräte in 194 Ländern offengelegt wurden. Ein zentraler Bestandteil war CVE-2026-24858, ein FortiCloud-SSO-Authentifizierungs-Bypass mit CVSS 9.4. Diese Schwachstelle steht seit Januar 2026 im KEV-Katalog.

Damit verschiebt sich die praktische Frage. Es reicht nicht, ein einzelnes Update einzuspielen und den Vorgang als erledigt zu markieren. Wenn Zugangsdaten abgeflossen sind, bleibt das Risiko auch nach dem Patch bestehen. Ein geschlossener Softwarefehler schützt nicht vor einem gültigen Passwort, das ein Angreifer bereits besitzt. Erst das Zurücksetzen betroffener Konten, das Ungültigmachen alter Sessions, die Prüfung von API-Zugängen und konsequente Mehrfaktor-Authentifizierung reduzieren diesen Teil der Gefahr.

Genau hier scheitern viele Reaktionsprozesse. Patch-Management ist sichtbar und messbar. Credential Hygiene ist kleinteiliger. Sie betrifft Benutzerkonten, Service-Accounts, föderierte Logins, SSO-Konfigurationen, Token, alte Administratoren und Ausnahmen, die irgendwann einmal für den Betrieb eingerichtet wurden. In einem Angriff zählt nicht, ob die Ausnahme sauber dokumentiert war. Sie zählt nur als Weg hinein.

Der Verlierer ist nicht nur der Hersteller

Fortinet steht durch die Häufung der Meldungen unter Druck. Das ist naheliegend. Aber der operative Verlierer ist oft die Organisation, die ihre Edge-Geräte nicht vollständig inventarisiert, deren Patch-Zyklen zu langsam sind oder die kompromittierte Zugangsdaten nicht wie einen Sicherheitsvorfall behandelt.

Für Angreifer ist diese Lage günstig. Sie müssen nicht jedes Ziel individuell verstehen, wenn sie sich auf verbreitete Produkte, bekannte Schwachstellen und wiederverwendete Zugangsdaten stützen können. Für Incident-Response-Teams und Sicherheitsdienstleister entsteht daraus Arbeit: prüfen, isolieren, forensisch sichern, Zugangsdaten rotieren, Logs auswerten, Managementzugänge beschränken. Das ist teuer, aber meist weniger teuer als ein Ransomware-Fall, der aus einem vermeidbaren Einstieg entsteht.

Die CISA-Frist für US-Bundesbehörden ist deshalb mehr als eine Verwaltungsmarke. Sie ist ein Maßstab dafür, wie schnell eine Organisation reagieren können muss, wenn ein Edge-Produkt mit Remotecodeausführung in der aktiven Ausnutzung landet. Wer dafür Wochen braucht, hat kein Patch-Problem. Er hat ein Betriebsmodell, das mit der Angriffsgeschwindigkeit nicht mithält.

Was jetzt zählt

Für FortiSandbox-Umgebungen ist die unmittelbare Aufgabe klar: betroffene Versionen identifizieren, Patches für CVE-2026-39808 und CVE-2026-25089 einspielen, Exposition prüfen und Logs auf verdächtige Aktivitäten untersuchen. Bei Fortinet-Geräten, die mit FortiBleed in Verbindung stehen könnten, gehört die Zugangsdatenebene zwingend dazu. Passwörter, Tokens, SSO-Konfigurationen und privilegierte Konten müssen behandelt werden, als könnten sie bereits bekannt sein.

Dazu kommt eine nüchterne Bestandsfrage: Welche Fortinet-Systeme sind aus dem Internet erreichbar? Wer administriert sie? Welche Managementschnittstellen sind offen? Wo ist Mehrfaktor-Authentifizierung Pflicht, wo nur Empfehlung? Welche Altzugänge existieren noch? Diese Fragen sind langweilig. Genau deshalb sind sie sicherheitsrelevant.

Die CISA-Warnung ist kein Anlass für Panik. Sie ist ein enger Zeitplan. Fortinet liefert Patches, aber die Sicherheitswirkung entsteht erst beim Betreiber. In dieser Lücke zwischen Herstellerkorrektur und realem Betrieb entscheiden sich viele Angriffe. Edge-Geräte sind längst keine passiven Kästen am Netzrand mehr. Sie sind Teil der Vertrauenskette. Wenn sie fallen, fällt oft mehr als ein einzelnes System.

J

Über den Autor

Jens Könnig

Jens analysiert seit Jahren digitale Märkte, Preisbewegungen und Plattform-Strategien. Als Betreiber mehrerer datengetriebener Systeme wertet er täglich große Mengen an Produkt- und Trenddaten aus. Sein Fokus liegt auf Einordnung statt Hype: Was bedeutet eine Entwicklung wirklich für Nutzer, Preise und Märkte?

Alle Artikel von Jens Könnig →