Er FortiBleed en sårbarhed, jeg kan patche?

Nej, ikke direkte. FortiBleed er en kampagne, der primært bygger på genbrug af lækkede adgangskoder mod eksponerede FortiGate-enheder — ikke én enkelt fejl, der kan patches væk. Beskyttelsen ligger i at lukke for ekstern adgang, aktivere MFA og skifte adgangskoder. Opgradering af FortiOS hjælper, men løser det ikke alene.

Hvordan ved jeg, om min FortiGate er berørt?

Behandl enheden som potentielt berørt, hvis den har et management- eller VPN-interface, der er tilgængeligt fra internettet, og hvis adgangskoderne ikke er skiftet efter tidligere Fortinet-hændelser. Nogle forskere har lanceret opslagsportaler, hvor man kan tjekke, om ens domæne optræder i datasættet — men uanset resultatet bør I gennemføre afhjælpningen.

Vi har MFA på — er vi så sikre?

MFA er en af de stærkeste beskyttelser mod netop denne type credential-baserede angreb, så det er et godt udgangspunkt. Men det fritager jer ikke for at lukke et unødigt eksponeret management-interface, skifte gamle adgangskoder og gennemgå logs for tegn på, at nogen allerede har været inde.

Bør vores firewall-administration overhovedet være tilgængelig fra internettet?

Som hovedregel nej. Et firewall-management-interface bør ikke kunne tilgås fra hele internettet. Det bør begrænses til betroede interne IP-adresser eller et separat management-netværk. FortiBleed illustrerer præcis, hvorfor: et eksponeret interface er en stående invitation til credential-baserede angreb.

Viden

Hvad er FortiBleed? Fortinet-firewalls under angreb

FortiBleed er en stor-skala kampagne (afsløret juni 2026), hvor angribere har samlet fungerende admin- og VPN-login til titusindvis af internet-vendte Fortinet FortiGate-firewalls — anslået op mod 86.000 enheder i 194 lande. Det er ikke én sårbarhed, men genbrug af lækkede credentials mod enheder, der aldrig fik skiftet adgangskoder. Har I en FortiGate med åbent management- eller VPN-interface, bør I handle nu.

Udgivet: 20. juni 2026Opdateret: 20. juni 2026Læsetid: 6 min.

Hvad er FortiBleed?

FortiBleed er navnet på en omfattende kampagne mod Fortinet FortiGate-firewalls og SSL VPN-gateways, som sikkerhedsforskere afslørede i midten af juni 2026. Det vigtige at forstå er, at FortiBleed ikke er én enkelt sårbarhed, man kan patche væk. Det er en vedvarende kampagne, hvor angribere systematisk har samlet og verificeret fungerende login til enhederne.

Forskere fandt en server tilhørende angriberne med en database af verificerede credentials til over 86.000 FortiGate-enheder fordelt på 194 lande — anslået omkring halvdelen af alle internet-tilgængelige Fortinet-firewalls. Tallene varierer mellem kilderne fra omkring 30.000 til 86.000, men størrelsesordenen er den samme: dette er en af de største Fortinet-relaterede hændelser til dato.

Hvordan virker angrebet?

Det centrale ved FortiBleed er, at det ikke bygger på en bekræftet zero-day. I stedet kombinerer angriberne flere velkendte teknikker:

Genbrug af lækkede adgangskoder fra tidligere Fortinet-brud og fra infostealer-malware, der har høstet logins fra inficerede maskiner.
Storskala-afprøvning af de adgangskoder mod internet-eksponerede FortiGate-enheder — særligt hos organisationer, der aldrig skiftede adgangskoder efter tidligere hændelser.
Offline knækning af opfangede VPN-autentificeringshashes ved hjælp af kraftige GPU-klynger.

Resultatet er en selvforstærkende maskine: hver gang nye credentials verificeres, føres de tilbage i systemet for at kompromittere endnu flere enheder.

Er det relateret til en CVE?

Delvist. Den mest omtalte relaterede sårbarhed er CVE-2026-24858 — en FortiCloud SSO-autentificerings-bypass med en CVSS-score på op til 9.8, som Fortinet offentliggjorde i januar 2026 og som blev tilføjet til CISA’s katalog over kendte udnyttede sårbarheder. På enheder med FortiCloud Single Sign-On aktiveret kunne en angriber logge ind uden gyldige credentials, oprette lokale admin-konti og hente konfigurationsfiler ud.

Men den præcise kilde til hele FortiBleed-datasættet er ikke bekræftet. Pointen for jer er praktisk: I skal ikke vente på, at en konkret zero-day bliver bekræftet, før I handler. Den kendte angrebsflade — en FortiGate med åbent management- eller VPN-interface og gamle credentials — er allerede tilstrækkelig grund til at reagere.

Er min virksomhed berørt?

Behandl jeres enhed som potentielt berørt, hvis I har:

En FortiGate-firewall eller SSL VPN-gateway, der er tilgængelig fra internettet.
Et management-interface (admin-login) eller VPN-portal, der kan ses udefra.
Adgangskoder, der ikke er blevet skiftet efter tidligere Fortinet-hændelser.
En FortiOS-version, der er opgraderet fra en ældre udgave, uden at administratorerne har logget ind igen siden.

Eksponeringen handler mere om, hvorvidt enheden er synlig på internettet og om adgangskode-hygiejnen, end om ét bestemt versionsnummer.

Hvad skal I gøre nu?

Sikkerhedsmyndigheder, herunder amerikanske CISA, anbefaler følgende handlinger med det samme:

Luk for ekstern adgang til management-interfacet. Admin-login bør aldrig være eksponeret mod hele internettet — begræns det til betroede interne IP-adresser eller et separat management-netværk.
Aktivér multifaktor-autentificering (MFA) på alle administrative konti og al fjernadgang. Det er den enkeltforanstaltning, der bedst beskytter, når adgangskoder kan være kompromitteret.
Skift alle administrative adgangskoder og VPN-credentials — især hvis de aldrig er blevet roteret efter tidligere Fortinet-sager.
Gennemgå logs for tegn på uautoriseret adgang: nye lokale admin-konti, uventede konfigurationsændringer eller login fra ukendte lokationer.
Opgradér FortiOS til en version med den stærkere password-hashing (7.2.11, 7.4.8 eller 7.6.1 og nyere), og sørg for at hver administrator logger ind igen, så gamle, svage hashes udskiftes.
Overvej SSL VPN-portalen. Lad den kun være offentligt tilgængelig, hvis der er et klart forretningsmæssigt behov.

Den vigtigste læring

FortiBleed er en påmindelse om, at perimeter-sikkerhed kun er så stærk som de adgangskoder, der beskytter den. To ting går igen i næsten alle de ramte organisationer: et eksponeret interface mod internettet og credentials, der aldrig blev skiftet efter tidligere brud. Begge dele kan lukkes ned — og bør lukkes ned, uanset om netop jeres enhed står på listen eller ej.

Ofte stillede spørgsmål

Er FortiBleed en sårbarhed, jeg kan patche?
Nej, ikke direkte. FortiBleed er en kampagne, der primært bygger på genbrug af lækkede adgangskoder mod eksponerede FortiGate-enheder — ikke én enkelt fejl, der kan patches væk. Beskyttelsen ligger i at lukke for ekstern adgang, aktivere MFA og skifte adgangskoder. Opgradering af FortiOS hjælper, men løser det ikke alene.
Hvordan ved jeg, om min FortiGate er berørt?
Behandl enheden som potentielt berørt, hvis den har et management- eller VPN-interface, der er tilgængeligt fra internettet, og hvis adgangskoderne ikke er skiftet efter tidligere Fortinet-hændelser. Nogle forskere har lanceret opslagsportaler, hvor man kan tjekke, om ens domæne optræder i datasættet — men uanset resultatet bør I gennemføre afhjælpningen.
Vi har MFA på — er vi så sikre?
MFA er en af de stærkeste beskyttelser mod netop denne type credential-baserede angreb, så det er et godt udgangspunkt. Men det fritager jer ikke for at lukke et unødigt eksponeret management-interface, skifte gamle adgangskoder og gennemgå logs for tegn på, at nogen allerede har været inde.
Bør vores firewall-administration overhovedet være tilgængelig fra internettet?
Som hovedregel nej. Et firewall-management-interface bør ikke kunne tilgås fra hele internettet. Det bør begrænses til betroede interne IP-adresser eller et separat management-netværk. FortiBleed illustrerer præcis, hvorfor: et eksponeret interface er en stående invitation til credential-baserede angreb.

Kilder

CISA — vejledning efter FortiBleed-lækken

SOCRadar — FortiBleed-analyse

Arctic Wolf — FortiBleed-kampagnen

Vil I have styr på det i praksis?

Auroa hjælper SMV'er og kommuner med at omsætte krav og risici til konkrete tekniske løsninger. Book en uforpligtende afklaringssamtale.

Book en afklaringssamtale Se relateret ydelse

Vil I have styr på det i praksis?

Auroa hjælper SMV'er og kommuner med at omsætte krav og risici til konkrete tekniske løsninger. Book en uforpligtende afklaringssamtale.