Secutec en SOCRadar brengen Nederlandse impact in kaart van grootschalige aanval op firewallfabrikant Fortinet

Minstens 279 Nederlandse organisaties zijn getroffen door het grootschalige FortiBleed cyberincident, waarbij criminelen toegangsgegevens tot Fortinet-firewalls buitmaakten en actief misbruiken. Dat blijkt uit analyse van cybersecuritybedrijf Secutec, dat de Nederlandse impact in kaart bracht met de Threat Research Unit van SOCRadar, een specialist in darknet monitoring. Bij tenminste 136 Nederlandse organisaties hebben cybercriminelen vandaag nog steeds als administrator toegang tot de firewall en ook tot het netwerk van de getroffen organisaties.

FortiBleed geldt als één van de grootste incidenten ooit bij een securityleverancier. Wereldwijd hebben Secutec en SOCRadar meer dan 75.000 gecompromitteerde firewalls in kaart gebracht. Ruim 110 miljoen aanmeldgegevens zijn onderschept in een grootschalige campagne die al sinds begin 2026 loopt en vandaag nog steeds actief is.

De aanval maakt misbruik van het Fortinet-partnerportaal, waar IT-dienstverleners toegang hebben tot de omgevingen van hun klanten. Door een kwetsbaarheid konden hackers de inloggegevens van tienduizenden partners bemachtigen, waardoor ze niet één organisatie, maar een hele keten van klantennetwerken konden binnendringen. Dat verklaart waarom de impact zich verspreidt over verschillende sectoren tegelijk en waarom ook kleinere organisaties getroffen zijn.

Nederlandse impact aanzienlijk
Uit de analyse blijkt dat de impact erg groot is. De gestolen toegangsgegevens betreffen organisaties uit uiteenlopende sectoren zoals advocatenkantoren, lokale overheden, scholen en andere dienstverleners. De oorzaak ligt vaak bij gebrekkige beveiligingspraktijken. Zo blijkt dat voor geen enkele onderzochte firewall multifactorauthenticatie werd geactiveerd, terwijl IT-partners in veel gevallen identieke wachtwoorden gebruiken voor meerdere klanten. Bovendien draait 85 procent van de getroffen systemen niet op de nieuwste firmware, waardoor bekende kwetsbaarheden open blijven staan voor misbruik.

Cybercriminelen nog steeds actief
Volgens de onderzoeken van de twee cybersecurityorganisaties toont FortiBleed een duidelijke evolutie in de werkwijze van cybercriminelen. “Waar ransomware-aanvallen vroeger vooral gericht waren op het versleutelen van data, verschuift de focus nu naar het stelen en verhandelen van toegang en gegevens. Dat omschrijven wij als Initial Access Brokerage. We stellen vast dat er bij verschillende organisaties wereldwijd al sprake is van grootschalige data-exfiltratie”, zegt Geert Baudewijns, CEO van Secutec.

De operatie wordt gelinkt aan een Russische groep, is opvallend sterk georganiseerd en georkestreerd, en van een ongeziene schaal. De aanvallers hebben volgens het onderzoek via ‘brute force’ toegang gekregen, door geautomatiseerd grote hoeveelheden wachtwoorden en gebruikersnamen te combineren. Eenmaal binnen installeerden ze FortigateSniffer, die via de firewall al het netwerkverkeer kan monitoren en inloggegevens onderschept via tientallen protocollen.

De buitgemaakte gegevens worden nadien gekraakt, verrijkt en gebruikt om verder door te dringen in interne systemen, waarna gevoelige data systematisch wordt buitgemaakt. De onderzoekers stellen vast dat de infrastructuur van de aanvallers nog steeds operationeel is, met dagelijks nieuwe compromitteringen.

Nederlandse autoriteiten geïnformeerd
Secutec heeft inmiddels het NCSC en de Europese nationale CERT’s op de hoogte gebracht. De twee bedrijven roepen organisaties die Fortinet-oplossingen gebruiken op om dringend maatregelen te nemen, waaronder het updaten van systemen, het activeren van multifactorauthenticatie en het controleren van toegang en accounts.

“FortiBleed illustreert hoe kwetsbaar het huidige ecosysteem van IT-dienstverlening is geworden, waarbij één enkele zwakke schakel kan leiden tot toegang tot honderden organisaties tegelijk. Wij verwachten dat dit soort grootschalige ketenaanvallen de komende jaren alleen maar zal toenemen”, waarschuwt Baudewijns.