KI-gestützte Angriffe auf FortiGate-Geräte – was jetzt zu tun ist

Amazon Threat Intelligence hat eine bemerkenswerte Angriffskampagne dokumentiert, die zwischen Januar und Februar 2026 über 600 FortiGate-Geräte in mehr als 55 Ländern kompromittierte. Bemerkenswert daran ist weniger die technische Raffinesse als vielmehr die Methode: Ein einzelner russischsprachiger Angreifer mit eher begrenzten Fähigkeiten nutzte kommerzielle KI-Dienste, um Angriffe in einem Ausmaß durchzuführen, das früher ein ganzes Team erfordert hätte. KI dient dabei als Kraft-Multiplikator – für Angriffsplanung, Toolentwicklung und operative Koordination.

Entscheidend: Ausgenutzt wurden keine Zero-Days oder komplexe Lücken, sondern schlichte Grundversäumnisse. Management-Ports von FortiGate-Geräten waren direkt aus dem Internet erreichbar, Zugangsdaten schwach oder mehrfach verwendet, und Mehrfaktor-Authentifizierung fehlte. Die KI half dem Angreifer dabei, diese Schwachstellen automatisiert und in großem Maßstab aufzuspüren und auszunutzen. Wer hingegen gehärtete Systeme hatte, wurde schlicht übersprungen – der Angreifer hatte weder die Fähigkeit noch den Willen, sich durch wirklich gesicherte Umgebungen zu kämpfen.

Wer FortiGate-Geräte betreibt, sollte jetzt prüfen: Sind Management-Interfaces aus dem Internet erreichbar? Sind VPN- und Admin-Zugänge mit MFA abgesichert? Wurden Standardpasswörter geändert? Im Zweifelsfall sollten VPN-Zugangsdaten rotiert und Logs auf ungewöhnliche Verbindungsstandorte überprüft werden. Besondere Aufmerksamkeit verdienen Veeam-Backup-Server – diese wurden gezielt angegriffen, da sie oft privilegierte Zugangsdaten enthalten und ihr Ausfall eine Ransomware-Attacke vorbereitet.

Auf Netzwerkebene lohnt die Suche nach unerwarteten DCSync-Operationen (Windows Event ID 4662) sowie ungewöhnlichen Remote-Verbindungen aus VPN-Adressbereichen.

Der Fall zeigt: KI senkt die Einstiegshürde für Cyberkriminelle spürbar. Gute Basisabsicherung ist und bleibt die wirksamste Antwort darauf.

Originalquelle: https://aws.amazon.com/blogs/security/ai-augmented-threat-actor-accesses-fortigate-devices-at-scale/

Related Posts

Kritische 1-Click RCE-Schwachstelle in OpenClaw AI-Assistenten

Der populäre Open-Source AI-Assistent OpenClaw (ehemals Moltbot/ClawdBot), der bereits von über 100.000 Entwicklern für umfassende System- und Nachrichtenzugriffe genutzt wird, war durch eine verkettete Schwachstelle angreifbar. Sicherheitsforscher von depthfirst entdeckten eine Logiklücke, die zu 1-Click Remote Code Execution führte. Ein einfacher Besuch einer präparierten Webseite reichte aus, um das System vollständig zu kompromittieren.

Read More

Kritische Sicherheitslücke in Roundcube Webmail – sofortiges Update erforderlich

In Roundcube Webmail wurde eine schwerwiegende Schwachstelle (CVE-2025-49113) entdeckt, die es eingeloggten Angreifern ermöglicht, beliebigen Code auf dem Server auszuführen. Die Lücke steckt in der Datei-Upload-Funktion, wo ein Parameter nicht korrekt geprüft wird – was sogenannte PHP Object Deserialization ermöglicht. Die US-Behörde CISA hat die Schwachstelle bereits in ihren Katalog aktiv ausgenutzter Lücken aufgenommen, was bedeutet: Sie wird in freier Wildbahn angegriffen.

Read More

Kritische RCE-Schwachstelle im OpenSSL Januar-2026-Release gefixt

Ein autonomes KI-Analysesystem namens AISLE hat sämtliche 12 Sicherheitslücken entdeckt, die OpenSSL im koordinierten Januar-2026-Release behoben hat. Dies stellt einen Meilenstein in der automatisierten Schwachstellenanalyse dar, da OpenSSL als eine der am intensivsten geprüften Codebases weltweit gilt. Einige der gefundenen Schwachstellen existierten seit Jahrzehnten – eine davon seit 1998. Die Entdeckungen umfassen eine hochkritische Remote Code Execution-Schwachstelle (CVE-2025-15467) durch Stack Buffer Overflow beim CMS AuthEnvelopedData-Parsing, die vor jeder Authentifizierung ausgelöst werden kann.

Read More