NCSC waarschuwt voor grootschalig misbruik Fortinet-kwetsbaarheid - update

Het Nederlandse Nationaal Cyber Security Centrum (NCSC) waarschuwt voor grootschalig misbruik van een Fortinet-kwetsbaarheid. De campagne heeft de bijnaam 'FortiBleed'. Volgens de organisatie zijn 30.000 tot 70.000 Fortinet-apparaten getroffen. Hierdoor kregen aanvallers op grote schaal toegang tot beveiligde systemen.

Het NCSC raadt potentiële slachtoffers aan om met een tool van cyberbeveiligingsbedrijf Hudson Rock te controleren of zij daadwerkelijk zijn getroffen door infostealers. De overheidsorganisatie voegt daaraan toe dat gebruikers van Fortinet-producten de volgende beveiligingsmaatregelen kunnen treffen:

  • Controleer logs op afwijkend gedrag. Overweeg daarnaast IP-whitelisting en het verplichten van tweefactorauthenticatie.
  • Check of er nieuwe, verdachte accounts zijn aangemaakt.
  • Overweeg om de wachtwoorden van alle beheerders- en gebruikersaccounts te resetten.
  • Kijk of beveiligde Secure Shell Protocol-toegang (SSH) is ingeschakeld en of directe blootstelling aan het internet nodig is.

Het is onduidelijk wat de onderliggende oorzaak van de kwetsbaarheid is. Volgens het NCSC is er geen indicatie dat het om een nieuwe kwetsbaarheid gaat, maar om grootschalig actief misbruik van bestaande kwetsbaarheden in het Fortinet-ecosysteem.

Wat is FortiBleed?

FortiBleed is de bijnaam voor een aanvalscampagne die misbruik maakt van kwetsbaarheden in het Fortinet-ecosysteem. Criminelen proberen met bruteforceaanvallen en credential stuffing toegang te krijgen tot systemen via FortiGate, de firewalls van het bedrijf. Ook vpn-gateways van de beveiligingsaanbieder zijn kwetsbaar. Als criminelen eenmaal toegang tot een systeem hebben, kunnen zij bijvoorbeeld meer informatie van slachtoffers stelen. Onder meer Samsung, Foxconn, Siemens, Oracle en Lenovo zouden door de kwetsbaarheid getroffen zijn.

Update, 21.25 uur – Er werd ten onrechte aangenomen dat een eerdere kwetsbaarheid in het Fortinet-ecosysteem misbruikt werd voor de aanval. De links naar die kwetsbaarheid zijn verwijderd. Met dank aan DDX.

Fortinet

Door Yannick Spinner

Redacteur

18-06-2026 • 19:29

30

Submitter: plizz

Reacties (30)

Sorteer op:

Weergave:

Info in blauwe stukje heeft niet echt wat met FortiBleed te maken ?
En CVE die daar gelinkt wordt gaat over fotiweb, niet over fortigate.

Link naar ncsc.nl geeft zover ik weet wel jusite info, al snap ik niet helemaal hoe dit een lek is in fortigate?
Op dit moment zijn er geen aanwijzingen dat aanvallers een nieuwe kwetsbaarheid misbruiken. Onderzoekers zien vooral dat eerder gestolen of gelekte gebruikersnamen en wachtwoorden opnieuw worden ingezet.
[..]
De aanvallers onderschepten, na initiële toegang, verkeer van Fortinetapparaten om inloggegevens te verkrijgen. Deze inloggegevens kunnen worden gebruikt om verdere toegang tot het interne netwerk te verkrijgen.
Dan zou je ook over een CiscoBleed kunnen spreken, als iemand gelekte inloggegevens heeft van een cisco vpn dan kom je ook op het interen netwerk.
Daarom altijd MFA op vpn voor eindgebruikers.
De bleed is volgens mij dat ze die inlog gegevens kunnen aftappen door eerst beperkte toegang te verkrijgen (tot de mgmt plane?) vanwege de kwetsbaarheid.
In dit artikel staat dat Fortinet gisteren een fix heeft uitgebracht, maar de link naar die fix verwijst naar een artikel en update uit 2025?

Verklaar aub nader…
Het staat niet handig geschreven, maar de patch is al maanden uit. Dit is een oude kwetsbaarheid die nu op grote schaal wordt misbruikt. Essential on te weten dus.
Maar de fix heeft niets met FortiBleed te maken ?
De fix is voor FortiWeb en FortiBleed is iets met FortiGate waar niet echt fix voor is, maar gelekte inlogs.

[Reactie gewijzigd door DDX op 18 juni 2026 19:59]

De agent is op hol geslagen lol.
Storm in een glas water. Dit gaat niet om een nieuwe kwetsbaarheid maar om organisaties die het niet op orde hebben. Die niet actief hebben gepatched toen er kwetsbaarheden zijn gevonden. (overigens vind fortinet 85% van de kwetsbaarheden zelf). Die worden misbruikt. Credentials gejat en worden nu gebruikt.

Als je dan ook nog eens management interfaces aan het internet koppelt, geen local-in policies gebruikt, geen mfa of ztna gebruikt. Mag je je echt achter je oren krabben als beheerder zijnde want dan faal je gewoon met best practices.

Nogmaals, sensatie nieuws. Niets nieuws hier.
Behalve dan dat het grootschalig wordt misbruikt. Blijkbaar zijn die best practices niet bekend bij het grote deel van de FortiNet beheerders. Een FortiNet apparaat wordt niet even door de directeur in het netwerk geplaatst, dus je mag je gerust afvragen welke "professionals" voor dergelijke apparaten de management interface beschikbaar maken voor het internet...
Er zijn verbluffend veel bedrijven met Fortinet apparatuur en beheerders zonder certificering (hetzij actief of verlopen), dat klopt.

Er zijn te weinig competente beheerders, helaas te veel incompetente.
Wat in het verleden niet geholpen heeft is dat Fortinet er features uit sloopt met updates en als je niet oppast je dus ineens een versie te hoog zit, dag ssl-vpn oid.

Fortinet heeft ten faveure van het geld het updatebeleid van hun klanten uit lopen hoeren.
Als je als bedrijf een firewall open aan het internet hangt, zowel SSH als web, dan ben je sowieso incompetent. 9/10 kwetsbaarheden op Fortigate hebben als basis een niet goed beveiligde (web) interface of de inmiddels deprecated SSLVPN (vanaf FortiOS 7.6, wat nu sowieso de recommended firmware is vanuit Fortinet voor alle F en G appliances en de high end).
Jaren oude credentials die gebruikt worden tegen GUI’s die zomaar aan het internet hangen, dat is er wel behoorlijk om vragen als “beheerder”.

Noem mij overigens 1 gerenomeerd merk firewall wat de laatste jaren niet meermaals aangevallen is…

[Reactie gewijzigd door Drardollan op 18 juni 2026 23:16]

Hudson rock heeft een online checktool gepubliceerd om te kijken of je compromised bent

https://www.hudsonrock.com/fortinet
and again...

AI overzicht: In de afgelopen twee jaar (medio 2024 tot medio 2026) zijn er zeker 10 grote, kritieke kwetsbaarheden en zero-day lekken in Fortinet-producten ontdekt die actief door aanvallers werden misbruikt. Dit leidde in 2026 onder meer tot een grootschalig datalek via zogeheten 'infostealers' en 'FortiBleed'
De geschiedenis herhaalt zich in alle opzichten. Ik heb hier al meerdere malen gezegd dat Fortinet je netwerk onveiliger maakt, vervolgens bagatelliseren allerlei uiterst kundige tweakers het probleem (zoals ook nu) en dat je een totale pannenkoek moet zijn om zo gehackt te worden, en toch zaten de Chinezen dankzij Fortinet in onze MIVD-netwerken, hoe is het mogelijk!
Precies, bij Forti is het echt schering en inslag. Ik zou een Fortinet firewall alleen bij een klant plaatsen met een andere firewall ervoor en erachter ;)
Valt allemaal best mee, ja er waren wat cve's afgelopen jaar en als je ssl vpn gebruikt waren er best wat kwestbaarheden. (ssl vpn faseren ze ook uit inmiddels)
Maar als je het vergelijkt met hoeveel kwestbaarheden Microsoft maandelijks fixt ?
En ja Microsoft heeft veel meer producten, maar pak bijvoorbeeld een .net security updates.

[Reactie gewijzigd door DDX op 18 juni 2026 20:06]

'Valt mee'? Als je het nieuws een beetje volgt is Fortinet echt wel een ramp qua security. Lappendeken van enorm oude codebase wat een mix is van eigen ontwikkeling en overgenomen producten, gecombineerd met een management laag die vooral voor de papieren werkelijkheid gaat.

Bij de verschillende security podcasts die ik volg zoals Security Weekly of Risky.biz is Fortinet een 'running joke' die elke week wel voorbijkomt.
Microsoft zit niet aan de frontlinie, dat pretendeert fortinet wel te doen, ik zou het product niet aan het internet hangen
Microsoft pretendeert ook een security speler te zijn met hun defender oplossingen. Ook zij hebben firewalls. Maar zo lek als een mandje. En daar hoor je dan niemand over. Heel bijzonder altijd.

Als je er een beetje induikt dan vind Fortinet ong. 85% van de kwetsbaarheden zelf. Zijn er transparant over, brengen patches uit en komen met best practices.

Als je dan als organisatie er niets mee doet. Spreek je gewoon van slechte Cyber hygiene. Management interfaces aan het internet. Geen MFA. Geen actief patch beleid.. Dit is niet nieuw. Maar helaas een overblijfsel van slechte inrichtingen.
Dan lijkt het me voor Fortinet ook wel zaak om eens na te gaan waarom die updates zo slecht worden uitgevoerd. Is het ‘eventjes patchen’ een behoorlijk ingewikkelde of langdurige klus? Kan je het uitrollen zonder downtime? Wat zijn de risico’s eraan? Is het allemaal goed gedocumenteerd? Krijgen mensen automatisch een bericht met dat er updates zijn, en wat dan het gevaar van niet updaten is?

Voor zo’n soort partij moet alles wel heel smooth gaan, anders is het de schuld geven aan klanten (waarvan je simpelweg weet dat niet iedere organisatie heel competent is) wel een makkelijke uitweg.
15 jaar geleden kon ik een FG-100 cluster (een van de kleinere modellen) zonder downtime in nog geen half uur updaten, ik kan me niet voorstellen dat dat slechter is geworden.

De forti's gingen gewoon mee in het patchproces, eens in de maand controleren of er kleine updates zijn, voor de critical updates waren we subscribed op een RSS feed die meteen een ticket genereerde bij een nieuwe kwetsbaarheid.
Er staat een enorme rode banner bovenaan de pagina dat er een kwetsbaarheid is en ze moeten updaten. Het upgraden gaat vlekkeloos, zelfs in een cluster zonder downtime.

Fortinet heeft ook feeds die je bijv. in Teams kan laden als er een kwetsbaarheid bekent wordt. Je kan je aanmelden op FortiGuard om updates te krijgen.

Er is maar 1 reden als je hier last van hebt. En dat is door luie beheerders.
Ja, dit zou een cybersecurity dienst moeten zijn maar met wat ik de afgelopen jaren voorbij zie komen zou ik dit echt nooit gebruiken voor mijn organisatie.
Dus als ik het allemaal goed begrijp, als je SSL VPN gebruikt, en iemand heeft de login gegevens weten te bemachtigen, dan kan die iemand inloggen op het systeem?

Het is zeker komkommertijd bij NCSC?
In het blauwe stuk wordt netjes uitgelegd wat Fortibleed is, maar nergens in het artikel staat wat Fortinet zélf voor software is.
Mijn eerste associatie is iets dat met Fornite te maken heeft :P maar gezien het bedrijfssoftware is lijkt het me van niet.
Is het netwerksoftware, een CRM, iets anders?
zie Fortinet.com, noemen zichzelf: Global Leader of Cybersecurity Solutions and Services

Leveren firewalls, switches, accesspoints, vpn oplossingen, spamfilters, antivirus en edr en heel veel meer van dat spul
Volgens de organisatie zijn 30.000 tot 70.000 Fortinet-apparaten getroffen
Dat is niet wat in de bron staat. Er staat dat er mogelijk zoveel apparaten getroffen zijn. Waarbij ook vermeld staat dat de omvang onduidelijk is. En dat is ook een verklaring waarom er advies staat hoe beheerders zelf controleren of dat het geval is en hoe ernstig het is. En blijkbaar is het voor de onderzoekers die de gegevens ontdekt hebben zo onduidelijk wie wat wel en niet voldoende heeft gedaan om alle risico's naar een acceptabel niveau terug te brengen dat ze iedereen oproepen nu (wel) behoorlijke maatregelen te nemen.

Op dit item kan niet meer gereageerd worden.