Rijkslogo, link naar home
Nationaal Cyber Security CentrumMinisterie van Justitie en Veiligheid

FortiBleed: duizenden Fortinetsystemen mogelijk geraakt

Cyber alerts
18 juni 2026
Wereldwijd melden beveiligingsonderzoekers en nationale cybersecurityorganisaties een grootschalige misbruikcampagne onder de naam FortiBleed. Aanvallers proberen toegang te krijgen tot Fortinet FortiGate-firewalls en SSL Virtual Private Network (SSL-VPN)-omgevingen met eerder buitgemaakte of gelekte inloggegevens. Gebruik je Fortinetapparatuur? Controleer dan of jouw organisatie mogelijk is geraakt.

Dit weten we

Op dit moment zijn er geen aanwijzingen dat aanvallers een nieuwe kwetsbaarheid misbruiken. Onderzoekers zien vooral dat eerder gestolen of gelekte gebruikersnamen en wachtwoorden opnieuw worden ingezet. Aanvallers combineren deze gegevens met geautomatiseerde aanvallen, zoals brute-force-aanvallen (veel wachtwoorden automatisch proberen) en credential stuffing (gelekte inloggegevens opnieuw gebruiken op andere systemen).  

Volgens onderzoekers zijn wereldwijd mogelijk 30.000 tot meer dan 70.000 Fortinetapparaten geraakt. In meerdere gevallen troffen onderzoekers datasets aan met geldige gebruikersnamen, e-mailadressen en wachtwoorden.  

De aanvallers onderschepten, na initiële toegang, verkeer van Fortinetapparaten om inloggegevens te verkrijgen. Deze inloggegevens kunnen worden gebruikt om verdere toegang tot het interne netwerk te verkrijgen.

We hebben inmiddels meerdere organisaties geïnformeerd over aangetroffen inloggegevens. Omdat de volledige omvang van de campagne nog niet duidelijk is, is het mogelijk dat nog niet alle getroffen organisaties zijn bereikt. Controleer daarom actief of jouw organisatie voorkomt in de bekende datasets. Via de controlewebsite kun je nagaan of mogelijk inloggegevens van jouw organisatie zijn buitgemaakt.

Controleer of inloggegevens van jouw organisatie zijn buitgemaakt

Dit kun je doen

Per organisatie is niet vastgesteld welke vervolgactiviteiten na de eerste toegang hebben plaatsgevonden. Daardoor kunnen we niet aangeven of en in welke mate jouw organisatie is geraakt. Voer daarom een eigen risico- en impactanalyse uit en controleer in ieder geval onderstaande punten.

  • Controleer logs op afwijkend gedrag. Onderzoek VPN-, authenticatie- en beheerlogs op verdachte inlogpogingen, onbekende IP-adressen, afwijkende herkomstlocaties en ongebruikelijke inlogtijden. Betrek hierbij in ieder geval Fortinet, Active Directory, LDAP, RADIUS, SSH en andere relevante authenticatielogs. Overweeg daarnaast IP-whitelisting en het verplicht stellen van Multi-Factor Authenticatie (MFA) voor beheer- en gebruikersaccounts.
  • Controleer of er nieuwe of verdachte accounts zijn aangemaakt. Kijk daarbij in ieder geval naar Fortinet-accounts, domeinaccounts, lokale accounts, serviceaccounts en SSH-accounts. 
  • Overweeg een reset van wachtwoorden en andere authenticatiemiddelen voor beheer- en gebruikersaccounts, waaronder SSH-sleutels. In meerdere onderzochte gevallen is waargenomen dat de aanvaller packet captures vanaf Fortinet systemen heeft verzameld. Hierdoor kunnen inloggegevens of andere authenticatiegegevens zijn buitgemaakt.
  • Controleer of SSH-toegang op jouw Fortinet apparatuur is ingeschakeld en beoordeel of directe blootstelling van SSH aan het internet noodzakelijk is. Beperk beheerinterfaces waar mogelijk tot interne beheeromgevingen of geautoriseerde bron IP-adressen.

In meerdere gevallen zagen onderzoekers dat aanvallers netwerkverkeer (packet captures) vanaf Fortinetsystemen verzamelden. Daardoor kunnen aanvullende inlog- of authenticatiegegevens zijn buitgemaakt.

We volgen de ontwikkelingen

We volgen de ontwikkelingen rond FortiBleed en actualiseren dit bericht zodra meer informatie beschikbaar is. Controleer in de tussentijd actief je omgeving en neem maatregelen als je signalen van misbruik ziet.

Mogen we je wat vragen?