FortiGate: non è una voce da allarmismo, ma una sveglia brusca per chi crede che la sicurezza di rete sia solo questione di aggiornamenti. Esperti di Amazon hanno ricostruito una campagna di intrusione che ha preso di mira oltre 600 appliance FortiGate di Fortinet, sfruttando non vulnerabilità zero-day ma configurazioni sbagliate e, soprattutto, l’uso di strumenti basati su AI generativa. I primi indizi parlano chiaro: la tecnica non è da manuale di un singolo hacker esperto, ma piuttosto il risultato di automazione e consulenza offerta da modelli di intelligenza artificiale.
Come sono andati gli attacchi e il ruolo dell’AI
Gli attacchi si sono svolti tra l’11 gennaio e il 18 febbraio 2026 e, in circa cinque settimane, hanno compromesso dispositivi in oltre cinquanta paesi. Gli aggressori — ritenuti collegati a gruppi russi — non hanno sfruttato difetti software, ma si sono concentrati su interfacce di gestione esposte pubblicamente e su password deboli senza protezione a due fattori. Amazon ha trovato sul posto un server che ospitava gli strumenti usati per l’intrusione; nei log e nel codice sono emersi riferimenti a servizi di AI come Claude Code e DeepSeek, citati dai ricercatori di Cyber and Ramen come componenti attive nella pianificazione e nella scrittura del codice.
Il flusso operativo è semplice e letale: scanner delle interfacce management raggiungibili da Internet, attacco di forza bruta con credenziali comuni, accesso al firewall e download dei file di configurazione. Nei file c’erano credenziali di accesso SSL-VPN, dettagli dell’architettura di rete, regole dei firewall e impostazioni di IPsec VPN. La decrittazione del materiale è stata affidata a tool in Python e Go generati o affinati tramite AI generativa, che hanno trasformato quei file in una mappa praticabile per l’accesso alla rete interna. Le credenziali così ottenute hanno poi permesso di raggiungere controller di dominio e host SMB, con successiva estrazione di password NTLM tramite strumenti open source noti. Amazon sottolinea che gli autori non dimostravano competenze eccezionali: la differenza l’ha fatta il supporto automatizzato e ripetibile fornito dall’AI, che ha abbassato la barriera d’ingresso per operazioni complesse.
Che cosa imparare e come reagire
La lezione è più pratica che teorica: proteggere i dispositivi significa rimuovere ogni punto di gestione esposto pubblicamente e non confidare su password semplici. Tra le contromisure suggerite da Amazon spiccano alcune mosse imprescindibili: eliminare l’accesso remoto diretto da Internet, adottare password robuste e attivare l’autenticazione multi-fattore. Inoltre, è fondamentale rivedere le configurazioni dei firewall, limitare gli account con privilegi, rotare credenziali e segnalare ogni accesso anomalo tramite sistemi di logging e SIEM. Monitorare backup e integrità dei file di configurazione, criptare correttamente i file sensibili come quelli SSL-VPN e segmentare la rete per ridurre la superficie d’attacco sono misure che pagano subito.
Infine, non è solo una questione tecnica: occorre introduzione di processi di auditing regolari e formazione mirata per chi mantiene le appliance. L’uso crescente di strumenti come Claude Code e DeepSeek dimostra quanto l’automazione renda più veloce la fase di esplorazione e sfruttamento. Per chi amministra infrastrutture Fortinet, la priorità deve essere la verifica puntuale delle interfacce pubbliche e l’analisi delle policy VPN: credenziali compromesse lato SSL-VPN non restano circoscritte al solo accesso remoto, ma possono consentire movimenti laterali devastanti.
La mattina dopo un attacco simile non bastano rimedi affrettati: occorre un approccio sistematico, che comprenda aggiornamenti, controlli di configurazione, segmentazione e, quando possibile, disabilitazione del management via Internet. Chi sottovaluta la combinazione tra errori umani — come password semplici — e la potenza dell’AI rischia di pagare caro. Meglio prendere appunti ora, prima che i modelli e gli script diventino ancora più sofisticati.
