Nieuws  |
6 juli 2026
FortiBleed: waarom doorlopend patch- en vulnerability management de schade had beperkt
Ligt de zwakste schakel in uw beveiliging bij u, of bij de partij die uw netwerk beheert?

Ligt de zwakste schakel in uw beveiliging bij u, of bij de partij die uw netwerk beheert?

Bij FortiBleed is dat de vraag die centraal staat. FortiBleed is een grootschalige misbruikcampagne tegen Fortinet FortiGate-firewalls en SSL-VPN-omgevingen, actief sinds begin 2026. Er kwam geen nieuwe kwetsbaarheid aan te pas. Doorlopend beheer had de aanvalsoppervlakte klein gehouden.

 

Wat is FortiBleed?

FortiBleed is een misbruikcampagne waarbij aanvallers inloggen op Fortinet FortiGate-firewalls met eerder gelekte inloggegevens, via brute-force en credential stuffing. Volgens het NCSC zijn wereldwijd 30.000 tot ruim 70.000 apparaten mogelijk geraakt. Eenmaal binnen onderscheppen aanvallers netwerkverkeer om aanvullende inloggegevens te bemachtigen en dieper het netwerk in te komen.
(Bron: Verdwenen zonder digitaal spoor | NCSC)

 

Waarom raakt één zwakke schakel honderden organisaties?

De opschaling liep grotendeels via het Fortinet-partnerportaal, waarmee IT-dienstverleners de omgevingen van hun klanten beheren. Volgens onderzoek van Secutec en SOCRadar opent één gestolen set partnergegevens tientallen klanten tegelijk. Zo werd een probleem bij één leverancier het probleem van honderden organisaties.
In Nederland is de omvang fors. Dutch IT Channel meldt minstens 279 getroffen organisaties, waaronder lokale overheden, scholen en advocatenkantoren. Bij 136 daarvan hadden aanvallers ten tijde van het onderzoek nog actieve beheerdersrechten. Op de onderzochte firewalls ontbrak MFA, gebruikten partners vaak identieke wachtwoorden voor meerdere klanten, en draaide 85 procent op verouderde firmware.
(Bron: Dutch IT Channel – FortiBleed cyberaanval treft Nederlandse organisaties)

 

De echte les: proactief beheer ís vulnerability- en patchmanagement

De kern van FortiBleed is achterstallig onderhoud. Ontbrekende MFA, verouderde firmware, zwakke wachtwoordopslag en open beheerinterfaces zijn precies de zaken die doorlopend vulnerability- en patchmanagement opspoort en wegwerkt voordat een aanvaller ze vindt. Goed proactief beheer is daarmee hetzelfde als goed vulnerability- en patchmanagement.
Het betekent continu in kaart brengen welke systemen kwetsbaar zijn, prioriteren op echt risico, en tijdig patchen en herstellen volgens een vaste cadans, voordat een lek publiek wordt misbruikt. Dat 85 procent van de getroffen firewalls op verouderde firmware draaide, wijst op een gat in dat proces. Met dat proces op orde was de aanvalsoppervlakte veel kleiner geweest.

 

Hoe DTX dit oplost: InsightVM ziet, Automox patcht

Bij DTX pakken twee disciplines dit samen op. Onze Cloud-afdeling levert Hybrid Managed Services, met patchmanagement standaard in het beheer. Onze Cybersecurity-afdeling levert InsightVM van Rapid7, dat we koppelen aan Automox. InsightVM scant continu uw omgeving en brengt kwetsbaarheden en prioriteiten in beeld. Automox voert de patches en configuratie-updates geautomatiseerd door, over Windows, macOS, Linux en third-party software heen. Zo werken Cloud en Cybersecurity vanuit hun eigen expertise aan hetzelfde doel: zien en handelen in één keten, zonder handmatig uitzoekwerk en zonder patches die blijven liggen.

 

Detectie als vangnet: de rol van een SOC-SIEM

Geen enkele omgeving is volledig dicht. Daarom telt detectie even zwaar als preventie. Een SOC (Security Operations Center) met SIEM bewaakt continu logs en netwerkverkeer, en herkent de sporen die FortiBleed achterlaat: afwijkende inlogpogingen, plotseling aangemaakte beheeraccounts en onderschept verkeer.
Op 136 onderzochte Nederlandse firewalls hadden aanvallers nog actieve beheerdersrechten ten tijde van het onderzoek. Dat is het verschil tussen een aanval die binnen uren wordt opgemerkt en een aanval die maandenlang doorloopt.

Bekijk het SOC van DTX.

 

FortiBleed bewijst waarom NIS2 (Cbw) zo belangrijk is

Onder de NIS2-richtlijn, in Nederland geïmplementeerd via de Cyberbeveiligingswet (Cbw), zijn organisaties wettelijk verplicht om kwetsbaarheden actief te beheren, risicoanalyses uit te voeren en passende beveiligingsmaatregelen te treffen om digitale processen te waarborgen. Die zorgplicht ligt op bestuursniveau en reikt tot in uw keten.
FortiBleed maakt dat ketenrisico concreet: één gecompromitteerde partner opent tientallen klantomgevingen tegelijk. Precies de tekortkomingen die FortiBleed blootlegt, ontbrekende MFA, verouderde firmware en zwak wachtwoordbeheer, vallen onder de passende maatregelen die NIS2 verplicht stelt. Wie dat niet aantoonbaar beheerst, staat straks met lege handen bij toezichthouder en verzekeraar.

 

Wat kunt u deze week doen?

  1. Controleer of u in de buitgemaakte datasets staat en of er vreemde accounts op uw firewalls leven.
  2. Zet MFA aan waar dat nog niet zo is.
  3. Breng uw firmwarestatus in kaart en plan de updates in.
  4. Leg vast welke leveranciers toegang hebben tot welke omgevingen.
  5. Maak van vulnerability- en patchmanagement een doorlopend proces.

 

Waar begint u?

1) Patchmanagement en vulnerabilitymanagement
Check bij uw MSP hoe dit is geregeld, of vraag bij DTX wat wij kunnen doen met InsightVM en Automox. Wilt u daarnaast een extra vangnet via een SOC? Vraag een vrijblijvend gesprek aan.

2) Klaarstomen voor NIS2 en bovenstaande issues in kaart brengen?
Start met Cyberinzicht. Dit security assessment brengt uw kwetsbaarheden, beleid en online zichtbaarheid in beeld, zodat u weet waar de gaten liggen en aantoonbaar invulling geeft aan de zorgplicht.

In gesprek met een eXpert

Wilt u weten waar u staat, of hoe vulnerability management en SOC-monitoring uw keten beschermen? Neem contact met ons op.

Meld je aan voor de

DTX kwartaal update

Het laatste tech news, klantcases en events direct in je inbox.

Ik ga akkoord met de voorwaarden in het privacybeleid van DTX.*
Er ging iets mis. Probeer het opnieuw.
Succes! Je bent ingeschreven.