Een hacker kon 600 FortiGate-firewalls compromitteren dankzij AI.
Een Russische aanvaller heeft in vijf weken tijd meer dan 600 FortiGate-firewalls in 55 landen gecompromitteerd zonder zero-day exploits. Hij had enkel zwakke wachtwoorden en generatieve AI nodig.
Geen zero-days, wel brute force en AI
Volgens een rapport van Amazon CISO CJ Moses liep de campagne van 11 januari tot 18 februari 2026. De aanvaller richtte zich op publiek toegankelijke beheerinterfaces op poorten 443, 8443, 10443 en 4443.
In plaats van kwetsbaarheden uit te buiten, werden er brute-force-aanvallen gebruikt tegen accounts zonder MFA. Na toegang werden configuratiebestanden buitgemaakt, inclusief VPN-credentials, admin-wachtwoorden en netwerktopologie.
Amazon stelt dat AI-diensten werden gebruikt om:
- aanvalsscenario’s uit te werken;
- scripts in Python en Go te genereren;
- laterale beweging te plannen;
- operationele documentatie op te stellen;
Backupservers en Active Directory
Er werden Active Directory-omgevingen aangevallen met tools zoals Meterpreter en mimikatz. Ook Veeam Backup & Replication-servers waren een doelwit, waarschijnlijk om herstel na ransomware te bemoeilijken.
Een verkeerd geconfigureerde server in Zwitserland had meer dan 1.400 bestanden met gestolen configuraties, credential dumps en AI-gegenereerde aanvalsscripts. Onderzoekers troffen ook een eigen Model Context Protocol (MCP)-server aan, weet Bleeping Computer, die data rechtstreeks naar commerciële LLM’s stuurde voor analyse en planning.