Op 17 juni 2026 werd een dataset met inloggegevens openbaar die niemand had mogen verrassen, en iedereen alarmeerde. Onderzoeker Volodymyr "Bob" Diachenko vond een op internet blootgestelde server met gebruikersnamen, e-mailadressen en wachtwoorden in platte tekst voor tienduizenden Fortinet FortiGate-firewalls. Kevin Beaumont verkreeg de set, werkte die uit met Hudson Rock en bevestigde het deel dat niemand bevestigd wilde zien: de inloggegevens waren geldig. De campagne kreeg de naam FortiBleed.
De cijfers vormen het verhaal. 73.932 unieke FortiGate-URL's in 194 landen, verbonden aan 21.632 domeinen, wat volgens Shodan-peilingen ongeveer de helft is van elke Fortinet-firewall die op dit moment naar het publieke internet is gericht. De blootgestelde organisaties zijn geen amateurs: Foxconn, Samsung, Comcast, Siemens, Lenovo, FedEx, Accenture, Oracle, PwC, plus overheidsinstanties en exploitanten van kritieke infrastructuur. Ten minste vier organisaties werden volledig gecompromitteerd, in Japan, Taiwan, Vietnam, Irak en Turkije, waarbij aanvallers van machine naar machine binnen het netwerk pivoteerden. Het ergste geval is een Turkse defensieonderaannemer van de NAVO van wie vertrouwelijke documenten werden geëxfiltreerd. De activiteit wordt toegeschreven aan een Russischtalige criminele groep met meerdere operatoren.
De ironie schrijft zichzelf. De firewall, het ene apparaat waarvan het hele doel is indringers aan de perimeter tegen te houden, werd de open deur van de perimeter.
Wat er technisch werkelijk gebeurde
Er is hier geen nieuwe kwetsbaarheid, en dat doet ertoe. De oogst gaat terug tot CVE-2022-40684, de FortiOS-authenticatiebypass die Fortinet in oktober 2022 patchte en die massaal werd uitgebuit voordat de meeste organisaties de fix toepasten. Inloggegevens die tijdens die golf van 2022 werden geschraapt, circuleren sindsdien in besloten criminele fora. FortiBleed is die voorraad, opnieuw opgefrist: de operatoren onderschepten SSL-VPN-authenticatie, herstelden wachtwoordhashes en kraakten die op een cluster van 45 GPU's, georkestreerd met Hashtopolis. Vervolgens speelden ze de herstelde wachtwoorden opnieuw af tegen actieve apparaten, met 1,16 miljard inlogpogingen tegen 320.000 FortiGate-apparaten en 2,1 miljard meer parallel tegen 160.000 Microsoft SQL-servers, en leidden de geldige ervan door naar Active Directory, de directory die elk Windows-account in de organisatie bestuurt.
Fortinets reactie is technisch correct en strategisch naast de kwestie. Het bedrijf karakteriseert FortiBleed als gerecyclede data uit eerdere incidenten plus brute kracht, niet als een nieuwe fout in zijn producten. Waar. Maar de apparaten staan nog steeds online, en een gerecycled wachtwoord opent een echte deur precies zolang niemand het verandert. In een groot park is het roteren van elk VPN- en beheerdersinloggegeven geen vingerknip, wat de hele reden is waarom de aanvallers erop wedden dat het nog zou werken. Ze hadden gelijk.
Welke kaders dit beheersen, en wat ze eisen
Dit is geen niche technische voetnoot; het zit vierkant binnen drie regimes waar de getroffen organisaties al onder vallen.
De EU-verordening digitale operationele weerbaarheid (DORA) bindt financiële entiteiten. De pijler ICT-risicobeheer (artikelen 5 tot en met 15) vereist sterke authenticatie en toegangscontrole op punten met externe toegang (artikel 9) en een geteste, met bewijs onderbouwde incidentresponscapaciteit (artikel 11). DORA aanvaardt "we hebben de CVE uit 2022 gepatcht" niet als weerbaarheid; het vraagt of de resterende blootstelling is geïdentificeerd, gekwantificeerd en bestuurd. De richtlijn netwerk- en informatiebeveiliging 2 (NIS2) dekt een veel bredere populatie, waaronder energie, transport, productie, digitale infrastructuur en openbaar bestuur, en haar artikel 21 noemt expliciet multifactorauthenticatie, toegangscontrole en activabeheer als basismaatregelen, waarbij bestuursorganen persoonlijk aansprakelijk zijn onder artikel 20. ISO/IEC 27001:2022 kadert dezelfde controles als verplichtingen uit bijlage A: A.5.17 (authenticatie-informatie), A.8.5 (veilige authenticatie), A.5.15 (toegangscontrole) en A.8.9 (configuratiebeheer). Voor de defensieonderaannemer van de NAVO geldt een vierde laag: verplichtingen voor de beveiliging van de defensie-toeleveringsketen, op grond waarvan exfiltratie van vertrouwelijk materiaal een meldplichtige gebeurtenis op soeverein niveau is, en niet louter een commerciële inbreuk.
Welke controles faalden
Strip de spectaculaire schaal weg en FortiBleed is een korte lijst van schakelaars die in de UIT-stand bleven. Multifactorauthenticatie voor externe toegang ontbrak of was onvolledig, en het is de enige controle die een gestolen wachtwoord inert maakt, degene wiens aanwezigheid een non-event van een inbreuk scheidt. Inloggegevensrotatie ging nooit af na de compromittering van 2022, dus wachtwoorden die vier jaar geleden lekten, authenticeerden nog steeds in juni 2026. Patch- en configuratiehygiëne liep zo lang achter op het oorspronkelijke venster van CVE-2022-40684 dat de oogst kon slagen. Netwerksegmentatie tussen de VPN-rand en de Active Directory-kern was dun of afwezig, waardoor een enkel gecompromitteerd apparaat veranderde in domeinbrede laterale beweging. En aan de basis van alles faalde de zichtbaarheid van activa: organisaties hadden geen gezaghebbend, actueel beeld van welke van hun FortiGate-apparaten op internet gericht waren, op welke firmware, met welke accounts en welke authenticatiehouding. Je kunt geen MFA roteren, segmenteren of afdwingen op een blootstelling die je niet kunt zien.
Wat de tools van CCI zouden hebben veranderd
Geen van de vier bovenstaande controles vereiste een nieuwe productcategorie. Ze vereisten dat de blootstelling continu werd gezien, geprijsd en bewezen, wat precies de kloof is die de instrumenten van CCI dichten.
EviGen zou de enige vraag die ertoe doet hebben beantwoord voordat de aanvallers die stelden: wordt MFA afgedwongen op elk SSL-VPN- en beheerdersaccount, op elk apparaat, op dit moment? EviGen verzamelt dat configuratiebewijs automatisch over het hele park en verpakt het kaderbewust als het artefact voor DORA artikel 9, NIS2 artikel 21 en ISO A.8.5, continu gegenereerd in plaats van in paniek gereconstrueerd. Een kloof in de MFA-dekking wordt een gedateerde, ondertekende bevinding in de week dat die ontstaat, niet een forensische ontdekking na exfiltratie.
NetDiagramer zou het pad hebben getekend dat de aanvallers daadwerkelijk bewandelden. Het brengt firewallzones en cross-layer-afhankelijkheden in kaart op basis van de levende inventaris, waarbij het elke op internet gerichte FortiGate zichtbaar maakt en, cruciaal, de route van de SSL-VPN-rand naar de Active Directory-kern. De platte rand-tot-domein-aangrenzing die vier organisaties volledig compromitteerbaar maakte, is precies wat een automatisch gegenereerde topologie onder DORA artikel 8 en NIS2 artikel 21 blootlegt als een bevinding in plaats van een lijkschouwingsdiagram.
cVaR zou "oude inloggegevens, waarschijnlijk prima" hebben omgezet in een bestuurswaardig getal. Door FAIR en Monte-Carlo-simulatie toe te passen over de activa-inventaris, prijst het het scenario "een op internet gericht VPN-inloggegeven wordt opnieuw afgespeeld en pivoteert naar AD" als een verlies-overschrijdingscurve in euro's. Een resterende blootstelling die zich leest als een vage zorg in een risicoregister, leest zich als conditional value-at-risk op een cVaR-dashboard, en resterende euro's worden geroteerd waar resterende zorgen worden uitgesteld.
DORA-MAST zou er een getest scenario van hebben gemaakt in plaats van een verrassing. Het laat de verstoring, hergebruik van inloggegevens op de perimeter met externe toegang, tegen het model spelen, berekent de weerbaarheidsimpact en onderbouwt de test met bewijs onder het testprogramma van DORA artikelen 24 tot en met 31, inclusief het concentratierisico bij derden van het inzetten van de gehele perimeter op één enkele apparatuurleverancier.
Voorspel de blootstelling, prijs haar, bewijs de controle, oefen het falen. De wond uit 2022 was kenbaar. De gelekte inloggegevens waren kenbaar. De MFA-kloof was kenbaar. FortiBleed buitte geen kwetsbaarheid in Fortinets code uit. Het buitte de afstand uit tussen een controle die een organisatie bezat en een controle die een organisatie kon bewijzen dat ze ingeschakeld was. Dicht die afstand en het gerecyclede wachtwoord opent niets.
Als uw domein al op de lijst staat: snel hulp krijgen
De bovenstaande tools beschrijven een houding die een organisatie opbouwt vóór een incident. FortiBleed is voor veel van de 21.632 blootgestelde domeinen geen toekomstig risico maar een huidig risico, en de eerlijke vraag is wat deze week te doen. Twee verschillende CCI-capaciteiten zijn van toepassing, en het loont de moeite precies te zijn over wat elk doet.
De eerste is leiderschap onder druk. De CISO-as-a-Service van CCI put uit een pool van acht of meer CISSP-gecertificeerde praktijkbeoefenaars met bewust niet-overlappende achtergronden in bankwezen, defensie, telecom en energie. Voor een organisatie die zojuist haar inloggegevens in de FortiBleed-set heeft ontdekt, is de relevante modus interim- of oproepdekking: een verantwoordelijke beveiligingsleider die de blootstelling kan triëren, een bestuur kan informeren en de vragen van een toezichthouder onder artikel 11 (DORA) of artikel 23 (NIS2) kan beantwoorden terwijl het interne team de rotatie uitvoert. Wij auditeren niet waar wij leiden, zodat die onafhankelijkheid door ontwerp behouden blijft.
De tweede is engineeringsnelheid. De mensen die EviGen, NetDiagramer, cVaR en DORA-MAST bouwden, zijn geen aparte leverancier; zij vormen een intern onderzoeks- en ontwikkelingsteam van academici, onderzoekers op doctoraal niveau en beveiligingsingenieurs. Dat doet er operationeel toe omdat de remediatie van FortiBleed op schaal een tooling-probleem is: het volledige FortiGate-park van een organisatie kruislings controleren tegen de gepubliceerde lijst van blootgestelde domeinen, inloggegevensrotatie afdwingen over honderden apparaten, en vervolgens bewijzen dat multifactorauthenticatie wordt afgedwongen op elk resterend account. Dit is precies het soort op maat gemaakt herstelinstrument dat diezelfde ingenieurs snel kunnen opzetten, omdat de onderliggende primitieven, waaronder inventarisinname, verzameling van configuratiebewijs en topologie-kartering, al bestaan als geleverde producten in plaats van slideware. De eerlijke framing is capaciteit, niet een contractuele stopwatch: het team dat deze primitieven productiseerde, kan ze veel sneller samenstellen tot een gericht remediatie-instrument dan een team dat het probleem voor het eerst tegenkomt. Als FortiBleed uw park heeft bereikt, is de snelste route naar een afgebakende reactie om met een praktijkbeoefenaar te praten.
De wond die nooit sloot
De horzel verandert niet; de kolonie wel. De inloggegevens die Fortinets klanten in 2022 verloren, zouden nooit vanzelf zijn verlopen, omdat wachtwoorden niet helen. Wat er veranderde, voor de helft van het park die nog steeds blootgesteld is, is niets: dezelfde apparaten, dezelfde wachtwoorden, hetzelfde platte pad naar het domein. De fix is roemloos en geheel binnen handbereik. Dwing MFA af, roteer nu, segmenteer de rand van de kern, en houd continu bewijs bij dat alle drie waar zijn. De aanvallers wedden dat u dit zult lezen, zult knikken en het zult uitstellen tot volgend kwartaal. Ze hebben een staat van dienst van vier jaar dat ze daar gelijk in hebben.
Acronyms
| Acroniem | Voluit (Engels) | Nederlandse vertaling |
|---|---|---|
| AD | Active Directory | Active Directory |
| CVE | Common Vulnerabilities and Exposures | Bekende kwetsbaarheden en blootstellingen |
| CVSS | Common Vulnerability Scoring System | Gemeenschappelijk scoresysteem voor kwetsbaarheden |
| DORA | Digital Operational Resilience Act | Verordening digitale operationele weerbaarheid |
| FAIR | Factor Analysis of Information Risk | Factoranalyse van informatierisico |
| GPU | Graphics Processing Unit | Grafische verwerkingseenheid |
| ICT | Information and Communication Technology | Informatie- en communicatietechnologie |
| MFA | Multi-Factor Authentication | Multifactorauthenticatie |
| NIS2 | Network and Information Security Directive 2 | Richtlijn netwerk- en informatiebeveiliging 2 |
| SSL-VPN | Secure Sockets Layer Virtual Private Network | Virtueel particulier netwerk met Secure Sockets Layer |
References
- Lautier, V. (2026). 75 000 pare-feu Fortinet siphonnes: l'attaque FortiBleed touche la moitie du parc mondial. Korben. https://korben.info/75-000-pare-feu-fortinet-siphonnes-lattaque-fortibleed-touche-la-moitie-du-parc-mondial.html
- The Register (2026). Massive password-stealing attack hits 75K Fortinet firewalls. https://www.theregister.com/cyber-crime/2026/06/17/massive-password-stealing-attack-hits-75k-fortinet-firewalls/
- Help Net Security (2026). 74,000 Fortinet firewall credentials exposed in FortiBleed data leak. https://www.helpnetsecurity.com/2026/06/18/fortinet-fortibleed-data-leak/
- BleepingComputer (2026). FortiBleed leak exposes Fortinet VPN credentials for 73,000 devices. https://www.bleepingcomputer.com/news/security/fortibleed-leak-exposes-fortinet-vpn-credentials-for-73-000-devices/
- CSO Online (2026). FortiBleed campaign exposes 75,000 Fortinet firewalls worldwide. https://www.csoonline.com/article/4186790/fortibleed-campaign-exposes-75000-fortinet-firewalls-worldwide.html
- Security Affairs (2026). FortiBleed: Admin Passwords for 75,000 Fortinet Firewalls. https://securityaffairs.com/193817/hacking/fortibleed-exposes-admin-passwords-for-75000-fortinet-firewalls.html
- CERT-EU (2024). Security Advisory 2024-018: Critical FortiOS SSL-VPN vulnerability (CVE-2024-21762). https://cert.europa.eu/publications/security-advisories/2024-018/
- European Union (2022). Regulation (EU) 2022/2554 (Digital Operational Resilience Act). https://eur-lex.europa.eu/eli/reg/2022/2554/oj
- European Union (2022). Directive (EU) 2022/2555 (NIS2). https://eur-lex.europa.eu/eli/dir/2022/2555/oj