Fortinet-Warnung: Alte VPN-Lücke wird wieder massiv ausgenutzt

Ein fünf Jahre alter Fehler in Fortinet-VPNs wird in den letzten Tagen des Jahres 2025 erneut aktiv angegriffen. Angreifer umgehen so die Zwei-Faktor-Authentifizierung – eine akute Gefahr für Unternehmen weltweit.

Die IT-Sicherheitsbranche schlägt Alarm: Kurz vor dem Jahreswechsel 2025/26 nutzen Cyberkriminelle erneut eine kritische, bereits seit 2020 bekannte Schwachstelle in Fortinet-VPN-Geräten aus. Sie ermöglicht es, die Zwei-Faktor-Authentifizierung (2FA) zu umgehen und so unberechtigten Zugang zu Unternehmensnetzwerken zu erlangen. Die Angriffe konzentrieren sich auf die letzten Dezembertage, eine Zeit, in der viele IT-Abteilungen mit Minimalbesetzung arbeiten.

Die Schwachstelle CVE-2020-12812: Ein alter Bekannter kehrt zurück

Im Zentrum der aktuellen Notfallwarnungen steht die Sicherheitslücke CVE-2020-12812. Obwohl sie bereits im Jahr 2020 entdeckt und mit Patches behoben wurde, verzeichneten Sicherheitsforscher seit Ende letzter Woche einen besorgniserregenden Anstieg der Angriffe. Die Lücke hat eine kritische Bewertung und betrifft die SSL-VPN-Komponente von Fortinet’s Betriebssystem FortiOS.

Unternehmen mit Fortinet- oder anderen VPN-Lösungen stehen derzeit unter Druck: Aktive Exploits zeigen, wie schnell Angreifer veraltete Systeme ausnutzen. Ein kostenloses E‑Book für IT-Verantwortliche erklärt praxisnah, welche Sofortmaßnahmen jetzt am wichtigsten sind — von Patch‑Priorisierung über Konfigurations-Audits bis zu Monitoring-Checks für ungewöhnliche Login-Muster. Enthalten sind Checklisten, Prioritätenlisten und schnelle Maßnahmen, die Sie noch heute umsetzen können. Jetzt kostenlosen Cyber-Security-Guide anfordern

Der Fehler liegt in einer Inkonsistenz bei der Groß- und Kleinschreibung zwischen der FortiGate-Hardware und LDAP-Verzeichnisdiensten. Laut technischen Analysen können Angreifer die zweite Stufe der Anmeldung umgehen, indem sie einfach die Schreibweise des Benutzernamens ändern – etwa „User“ statt „user“. In bestimmten Konfigurationen mit LDAP-Anbindung gewährt das System dann Zugang, ohne nach dem 2FA-Token zu fragen.

Dass eine fünf Jahre alte Lücke heute wieder akut wird, offenbart ein gefährliches Versäumnis im Vulnerability Management. Experten vermuten, dass automatisierte Scan-Tools von Angreifern veraltete oder falsch konfigurierte Systeme aufspüren, die nie korrekt aktualisiert wurden.

2025: Ein Krisenjahr für VPN-Sicherheit

Die aktuelle Fortinet-Krise ist kein Einzelfall, sondern der vorläufige Höhepunkt eines Jahres, das von massiven Angriffen auf VPN-Infrastrukturen geprägt war. Große Anbieter wie Ivanti, Cisco und Check Point sahen sich 2025 mit ausgeklügelten Exploit-Kampagnen konfrontiert.

Erst im Dezember veröffentlichte Ivanti wichtige Sicherheitsupdates. Ein Rückblick des Analyseunternehmens SOCRadar vom 25. Dezember identifizierte die Ivanti-Lücke CVE-2025-0282 – ein im Frühjahr 2025 ausgenutztes Zero-Day-Leck – als eine der folgenschwersten des Jahres. Auch Cisco kämpfte mit der „ArcaneDoor“-Kampagne staatlicher Akteure gegen Firewalls. Das Muster ist klar: Angreifer fokussieren sich systematisch auf Edge-Geräte, die den Zugang zum internen Netz regeln.

Notfall-Maßnahmen: So müssen Unternehmen jetzt handeln

Sicherheitsexperten behandeln die Warnungen als Notfall. Für alle Unternehmen mit Fortinet SSL-VPNs gilt: Sofort handeln.

1. Patches prüfen: Stellen Sie sicher, dass alle FortiGate-Geräte die neueste Firmware-Version ausführen. Der Fix für CVE-2020-12812 ist seit der Version 6.x verfügbar.
2. LDAP-Konfiguration auditieren: Überprüfen Sie die LDAP- und 2FA-Einstellungen. Die Kombination aus „user local“ und Remote-Authentifizierung darf keine Umgehung über die Groß-/Kleinschreibung erlauben.
3. Indikatoren für Kompromittierung suchen: Scannen Sie Logdateien nach Anmeldeversuchen mit ungewöhnlicher Großschreibung in Benutzernamen – ein typisches Merkmal dieses Exploits.
4. Angriffsfläche verkleinern: Deaktivieren Sie SSL-VPN, wo es nicht zwingend benötigt wird, oder schränken Sie den Zugriff auf bestimmte IP-Bereiche ein.

Warum alte Lücken immer wieder gefährlich werden

Das Wiederaufleben einer 2020er-Schwachstelle zeigt ein grundlegendes Problem im Lebenszyklus-Management von Hardware. „Dass wir an Silvester 2025 über einen fünf Jahre alten Fehler diskutieren, spricht Bände über die Komplexität moderner Netze und die ‚installieren und vergessen‘-Mentalität“, kommentiert ein Bericht von SC Media vom 30. Dezember.

Die Timing der Angriffe ist dabei kalkuliert: Die Zeit zwischen Weihnachten und Neujahr nutzen Bedrohungsakteure gezielt, weil viele Security Operations Center (SOC) nur mit Notbesetzung arbeiten. Die simple Umgehungsmethode macht die Lücke zur leichten Beute für Angreifer, die zunächst Zugang erlangen und später Ransomware oder Datendiebstahl-Tools nachladen wollen.

Ausblick 2026: Das VPN-Modell wackelt

Der anhaltende Zyklus aus „kritischer Lücke -> Notfall-Patch -> neue Angriffsvariante“ zehrt an den Nerven der Verteidiger. Die Branche sieht im traditionellen VPN-Modell zunehmend ein untragbares Sicherheitsrisiko.

Für 2026 erwarten Experten einen stärkeren regulatorischen Druck, möglicherweise von EU-Behörden, der ein strikteres Lebenszyklus-Management für Edge-Geräte vorschreiben könnte. Zudem wird die Abwanderung hin zu Zero Trust Network Access (ZTNA) an Fahrt gewinnen. Im Gegensatz zu VPNs, die oft breiten Netzwerkzugriff gewähren, vermitteln ZTNA-Lösungen nur sichere Verbindungen zu bestimmten Anwendungen. Das minimiert das Risiko, dass Angreifer sich im Netzwerk seitlich bewegen können – selbst wenn die Zugangsdaten oder das Gerät kompromittiert sind.

Die aktuelle Priorität bleibt jedoch eindeutig: patchen, prüfen, überwachen. Die Angriffe sind aktiv, und das Zeitfenster für Gegenmaßnahmen schließt sich.

PS: Übrigens — wenn Ihre IT-Abteilung jetzt Notfallmaßnahmen plant, kann der kostenlose Report „Cyber Security Awareness Trends“ wertvolle Orientierung bieten. Der kompakte Leitfaden fasst aktuelle Bedrohungsmuster, praxisnahe Schutzmaßnahmen und relevante Regulierungen (inkl. neuer KI‑Regeln) zusammen und liefert sofort anwendbare Checklisten für Mittelstand und Konzerne. Kostenlos für IT‑Verantwortliche zum Download. Kostenlosen Cyber-Security-Report herunterladen