KI-gestützte Cyberangriffe auf 55 Länder

Ein mas­si­ver Cyber­an­griff hat sich über den Glo­bus aus­ge­brei­tet und mehr als 600 For­ti­Ga­te-Sicher­heits­ge­rä­te in 55 Län­dern getrof­fen. Hacker nutz­ten KI-Tools wie ChatGPT, um ihre Arbeit zu beschleu­ni­gen und ver­wan­del­ten das, was einst Tage dau­er­te, in weni­ge Stun­den. Sie nutz­ten eine schwer­wie­gen­de Schwach­stel­le namens CVE-2026–24858 aus und umgin­gen dabei voll­stän­dig den Pass­wort­schutz. Dies mar­kiert eine beun­ru­hi­gen­de Wen­de : Künst­li­che Intel­li­genz hilft Kri­mi­nel­len nun dabei, schnel­ler und effek­ti­ver ein­zu­bre­chen. Die Fra­ge ist nicht, ob Ihr Netz­werk das nächs­te sein könn­te, son­dern ob Sie über­haupt wüss­ten, wenn es bereits pas­siert wäre.

CVE-2026–24858 : Die FortiOS Zero-Day-Schwachstelle, die über 600 Geräte kompromittierte

Ein schwer­wie­gen­der Sicher­heits­feh­ler erschüt­ter­te die Cyber­si­cher­heits­welt im Janu­ar 2026, als Hacker einen Weg ent­deck­ten, Fort­i­nets Ver­tei­di­gungs­maß­nah­men zu umge­hen. Das Pro­blem, bezeich­net als CVE-2026–24858, erhielt eine kri­ti­sche Bewer­tung von 9,8 von 10 Punk­ten. Die­se Authen­ti­fi­zie­rungs­schwach­stel­le ermög­lich­te es bös­wil­li­gen Akteu­ren, For­ti­Clouds Anmel­de­sys­tem voll­stän­dig zu umge­hen. Sie benö­tig­ten kei­ne gestoh­le­nen Pass­wör­ter oder spe­zi­el­le Werk­zeu­ge, nur ein For­ti­Cloud-Kon­to und ein regis­trier­tes Gerät. Über 600 Gerä­te in 55 Län­dern wur­den Opfer, bevor Fort­i­net den Feh­ler bemerk­te. Der Angriff betraf FortiOS‑, FortiAnalyzer‑, FortiManager‑, For­ti­Pro­xy- und For­ti­Web-Pro­duk­te. Angrei­fer änder­ten Fire­wall-Ein­stel­lun­gen, erstell­ten unbe­fug­te Kon­ten und modi­fi­zier­ten VPN-Kon­fi­gu­ra­tio­nen. Die Gerä­te­si­cher­heit brach zusam­men, als Hacker zwi­schen Sys­te­men spran­gen, die ver­schie­de­nen Eigen­tü­mern gehör­ten. Die Schwach­stel­le wur­de spä­ter zu CIS­As Kata­log bekann­ter aus­ge­nut­zer Schwachstellen hin­zu­ge­fügt, was ihre Schwe­re und akti­ve Aus­nut­zung her­vor­hob. Fort­i­net blo­ckier­te zwei bös­wil­li­ge Kon­ten am 22. Janu­ar, setz­te den Ser­vice vor­über­ge­hend aus und stell­te dann den Zugang mit stär­ke­ren Kon­trol­len wie­der her.

Überprüfen Sie, ob Ihre FortiGate kompromittiert wurde : Konfigurationsexporte und bösartige Anmeldungen

Wie kön­nen Orga­ni­sa­tio­nen fest­stel­len, ob Hacker wäh­rend die­ser Angriffs­wel­le in ihre For­ti­Ga­te-Sys­te­me ein­ge­drun­gen sind ? Sicher­heits­teams soll­ten spe­zi­fi­sche Angriffs­in­di­ka­to­ren unter­su­chen, die auf unbe­fug­ten Zugriff hin­wei­sen. Ach­ten Sie auf ver­däch­ti­ge Down­loads von Kon­fi­gu­ra­ti­ons­da­tei­en, die­se Expor­te ent­hal­ten Pass­wör­ter, VPN-Schlüs­sel und Netz­werk­plä­ne, die Hacker ver­zwei­felt haben wol­len. Bedro­hungs­in­for­ma­tio­nen zei­gen bös­ar­ti­ge Anmel­dun­gen gefolgt von sofor­ti­gen Expor­ten zu iden­ti­schen IP-Adres­sen, was auf auto­ma­ti­sier­ten Dieb­stahl hindeutet.

Star­ker Daten­schutz beginnt mit ein­fa­chen Über­wa­chungs­stra­te­gien. Prü­fen Sie auf neu erstell­te Admi­nis­tra­tor­kon­ten, die Sie nicht auto­ri­siert haben. Über­prü­fen Sie, wel­che Schnitt­stel­le für Expor­te ver­wen­det wur­de. Veri­fi­zie­ren Sie aktu­el­le SSO-Anmel­de­ereig­nis­se, die mit dem Her­un­ter­la­den von Kon­ten ver­bun­den sind. Die­se Risi­ko­be­wer­tung hilft dabei, legi­ti­me Siche­run­gen von Angrif­fen zu unter­schei­den. Über­wa­chen Sie Ände­run­gen in Fire­wall-Richt­li­ni­en oder VPN-Kon­fi­gu­ra­tio­nen, die auf Mani­pu­la­ti­on nach einem erfolg­rei­chen Angriff hin­deu­ten könnten.

Effek­ti­ve Vor­fall­re­ak­ti­on bedeu­tet, Sicher­heits­pro­to­kol­le sofort zu befol­gen. Wenn Expor­te ver­däch­tig erschei­nen, rotie­ren Sie alle Anmel­de­da­ten und Geheim­nis­se. Die Frei­heit Ihrer Orga­ni­sa­ti­on hängt von schnel­lem Han­deln ab.

Wie Angreifer ChatGPT zur Automatisierung der FortiGate-Ausnutzung verwendeten

Cyber­kri­mi­nel­le ver­wan­del­ten künst­li­che Intel­li­genz in ihren per­sön­li­chen Hack­ing-Assis­ten­ten wäh­rend die­ser For­ti­Ga­te-Angriffs­kam­pa­gne. Kom­mer­zi­el­le KI-Model­le wur­den zu digi­ta­len Kom­pli­zen und bewäl­tig­ten 80–90% der Aus­nut­zungs­stra­te­gien mit mini­ma­ler mensch­li­cher Auf­sicht. Die­se KI-Tech­ni­ken ver­wan­del­ten kom­pli­zier­te Hack­ing-Ope­ra­tio­nen in Fließband-Effizienz.

Die Auto­ma­ti­sie­rungs­ri­si­ken wur­den durch drei Haupt­an­wen­dun­gen deutlich :

1. Cre­den­ti­al-Manage­ment – KI ana­ly­sier­te gestoh­le­ne Kon­fi­gu­ra­ti­ons­da­tei­en und orga­ni­sier­te Pass­wör­ter und Netz­werk­kar­ten in durch­such­ba­re Bibliotheken
2. Thre­at Intel­li­gence – Maschi­nel­les Ler­nen iden­ti­fi­zier­te ver­wund­ba­re Gerä­te über meh­re­re Ports hin­weg, wäh­rend es Erken­nungs­sys­te­me umging
3. Respon­se-Frame­works – Angrei­fer füg­te gan­ze Netz­werk­dia­gram­me in Chat­bots ein und erhiel­ten schritt­wei­se Anwei­sun­gen für late­ra­le Bewegungen

Die­se Wea­po­nisie­rung gene­ra­ti­ver Model­le erfor­der­te mensch­li­che Inter­ven­ti­on nur bei 4–6 kri­ti­schen Ent­schei­dungs­punk­ten pro Ope­ra­ti­on und demons­trier­te, wie zugäng­li­che KI-Tools nun jedem ermög­li­chen, aus­ge­klü­gel­te Angrif­fe zu star­ten. Die par­al­le­len Ver­ar­bei­tungs­ka­pa­zi­tä­ten der Kam­pa­gne erlaub­ten es Bedro­hungs­ak­teu­ren, gleich­zei­tig meh­re­re Sys­te­me in ver­schie­de­nen geo­gra­fi­schen Regio­nen aus­zu­nut­zen und den typi­schen Zeit­rah­men für Mas­sen-Kom­pro­mit­tie­rungs­ope­ra­tio­nen dras­tisch zu verkürzen.

Was enthüllte kriminelle Infrastruktur über das Ausmaß von Angriffen verrät

Die Kri­mi­nel­len hin­ter die­ser Kam­pa­gne mach­ten einen über­ra­schen­den Feh­ler, der ent­hüll­te, wie groß ihre Ope­ra­ti­on wirk­lich war. Sie lie­ßen ihre Angriffs­werk­zeu­ge und Plä­ne auf öffent­lich zugäng­li­chen Ser­vern lie­gen, wo Sicher­heits­for­scher sie fin­den konn­ten. Die­se digi­ta­len Datei­en funk­tio­nier­ten wie eine Bedie­nungs­an­lei­tung und zeig­ten genau, wie die Angrei­fer KI nutz­ten, um das zu bau­en, was Exper­ten ein Fließ­band für Cyber­kri­mi­na­li­tät nann­ten. Der Bedro­hungs­ak­teur kom­pro­mit­tier­te über 600 For­ti­Ga­te-Gerä­te in einer mas­si­ven Kam­pa­gne, die sich über 55 Län­der erstreckte.

Öffentlich zugängliche Angriffs-Infrastruktur

Als Sicher­heits­for­scher auf Ser­ver stie­ßen, die von Angrei­fern weit offen gelas­sen wur­den, ent­deck­ten sie etwas Über­ra­schen­des : einen digi­ta­len Bau­plan, der zeig­te, wie mas­siv die­se kri­mi­nel­le Ope­ra­ti­on gewor­den war.

Die­se expo­nier­ten Sys­te­me ent­hüll­ten kri­ti­sche Details über Angriffs­vek­to­ren und ope­ra­ti­ven Umfang. Durch sorg­fäl­ti­ge Infra­struk­tur­ana­ly­se kar­tier­ten Exper­ten die wah­re Reich­wei­te der Kampagne :

1. Befehls­ser­ver über meh­re­re Kon­ti­nen­te hin­weg koor­di­nier­ten Angrif­fe gegen Hun­der­te von Gerä­ten gleichzeitig
2. Gespei­cher­te Anmel­de­da­ten und Zugriffs­pro­to­kol­le doku­men­tier­ten erfolg­rei­che Ein­brü­che in Regierungs‑, Gesund­heits- und Unternehmensnetzwerke
3. KI-gene­rier­te Explo­ita­ti­ons­skrip­te zeig­ten, wie Kri­mi­nel­le ihre Angrif­fe auto­ma­ti­sier­ten, um schnel­ler zu sein als Verteidiger

Die­se zufäl­li­ge Trans­pa­renz gab Ver­tei­di­gern einen bei­spiel­lo­sen Ein­blick in moder­ne Cyber­crime-Ope­ra­tio­nen. Die expo­nier­te Infra­struk­tur zeich­ne­te ein ernüch­tern­des Bild : raf­fi­nier­te Kri­mi­nel­le, die moderns­te Tech­no­lo­gie nut­zen, um kri­ti­sche Sys­te­me in gro­ßem Maß­stab zu kompromittieren.

KI-Generiertes Werkzeug-Repository

Ver­steckt zwi­schen die­sen auf­ge­deck­ten kri­mi­nel­len Ser­vern befand sich etwas noch Alar­mie­ren­de­res : voll­stän­dig bestück­te digi­ta­le Lager­häu­ser vol­ler Angriffs­werk­zeu­ge, die von künst­li­cher Intel­li­genz ent­wi­ckelt wur­den. Sicher­heits­for­scher ent­deck­ten kom­plet­te KI-Tool­kits, die für auto­ma­ti­sier­tes Phis­hing, Mal­wa­re-Auto­ma­ti­sie­rung und gene­ra­ti­ve Aus­nut­zung kon­zi­piert waren. Die­se ille­ga­len Frame­works zeig­ten, wie Kri­mi­nel­le nun auf KI-Täu­schung anstatt auf tra­di­tio­nel­le Pro­gram­mier­fä­hig­kei­ten setzen.

Die Repo­si­to­ry-Schwach­stel­len offen­bar­ten einen beun­ru­hi­gen­den Trend : Jeder konn­te fer­ti­ge Angriffs­pa­ke­te her­un­ter­la­den. Kei­ne tech­ni­schen Kennt­nis­se erfor­der­lich. Zei­gen, kli­cken, ein­set­zen. Mul­ti­funk­tio­na­le KI-gene­rier­te Pro­gram­me erle­dig­ten alles von der Auf­klä­rung bis zum Daten­dieb­stahl. Eini­ge Repo­si­to­ries ent­hiel­ten sogar Kun­den­sup­port-Kanä­le. KI-gene­rier­te READ­ME-Datei­en ver­stärk­ten die Legi­ti­mi­tät die­ser bös­ar­ti­gen Repo­si­to­ries und lie­ßen gefälsch­te Tools für ahnungs­lo­se Nut­zer ver­trau­ens­wür­dig erscheinen.

Die Sicher­heits­im­pli­ka­tio­nen gehen über die­se ein­zel­ne Kam­pa­gne hin­aus. Die­se auto­ma­ti­sier­ten Sys­te­me sen­ken über­all die Bar­rie­ren für ange­hen­de Kri­mi­nel­le. Was einst jah­re­lan­ge Pro­gram­mier­kennt­nis­se erfor­der­te, dau­ert nun mit gene­ra­ti­ven Model­len nur noch Minuten.

FortiGate-Erkennung : Identifikation von CVE-2026–24858 Exploitation-Mustern

Die Iden­ti­fi­zie­rung von Anzei­chen einer CVE-2026–24858-Ausnutzung erfor­dert die Über­wa­chung meh­re­rer unge­wöhn­li­cher Akti­vi­tä­ten auf For­ti­Ga­te-Gerä­ten. Sicher­heits­teams benö­ti­gen ein­fa­che Erken­nungs­tech­ni­ken, um Pro­ble­me schnell zu erken­nen. Die­se Aus­nut­zungs­si­gna­tu­ren hel­fen dabei, Netz­wer­ke vor unbe­fug­tem Zugriff zu schützen.

Wich­ti­ge Warn­zei­chen umfassen :

1. Selt­sa­me Anmel­de­mus­ter – Neue admi­nis­tra­ti­ve Kon­ten, die plötz­lich auf­tau­chen, beson­ders sol­che mit ver­däch­ti­gen E‑Mail-Adres­sen wie die gesperr­ten bös­ar­ti­gen Konten
2. Kon­fi­gu­ra­ti­ons­än­de­run­gen – Uner­war­te­te Modi­fi­ka­tio­nen, die VPN-Zugriff gewäh­ren oder auto­ma­ti­sier­te Expor­te von Geräteeinstellungen
3. For­ti­Cloud-Akti­vi­tät – Anmel­dun­gen über For­ti­Cloud SSO von unbe­kann­ten Quel­len oder Gerä­ten, die Sie nicht erkennen

Die Über­wa­chung die­ser Mus­ter hilft dabei, Angrei­fer zu erwi­schen, bevor sie ernst­haf­ten Scha­den ver­ur­sa­chen. Regel­mä­ßi­ge Pro­to­koll­über­prü­fun­gen erleich­tern das Erken­nen die­ser Warn­zei­chen. Angrei­fer set­zen häu­fig auto­ma­ti­sier­te Skrip­te ein, um schnell Kon­fi­gu­ra­ti­ons­da­tei­en mit sen­si­blen Netz­werk­in­for­ma­tio­nen zu expor­tie­ren. Ein­fa­che Wach­sam­keit schützt die Frei­heit Ihres Netz­werks vor uner­wünsch­ten Eingriffen.

Warum Geräte, die für CVE-2025–59718 gepatcht wurden, trotzdem kompromittiert wurden

War­um schau­ten Netz­werk­ad­mi­nis­tra­to­ren frus­triert zu, als Angrei­fer in ihre angeb­lich geschütz­ten Gerä­te ein­dran­gen ? Die Ant­wort offen­bart eine beun­ru­hi­gen­de Lücke zwi­schen der Instal­la­ti­on von Updates und tat­säch­li­cher Sicher­heit.

Fort­i­nets ers­te Patches vom Dezem­ber 2025 konn­ten die Blu­tung nicht stop­pen. Gerä­te mit For­ti­OS 7.4.9 wur­den im gesam­ten Janu­ar 2026 wei­ter­hin getrof­fen, selbst nach­dem Admi­nis­tra­to­ren die Patch-Veri­fi­zie­rung durch­ge­führt hat­ten. Das Pro­blem war nicht nach­läs­si­ges Upda­ten, es waren unvoll­stän­di­ge Kor­rek­tu­ren.

SSO-Schwach­stel­len lie­fen tie­fer als zunächst ver­stan­den. Die gerä­te­sei­ti­gen Patches allein konn­ten Feh­ler in For­ti­Clouds Authen­ti­fi­zie­rungs­ser­vern nicht behe­ben. Bis Fort­i­net ihre Cloud-sei­ti­ge Kor­rek­tur am 26. Janu­ar 2026 bereit­stell­te, nutz­ten Angrei­fer die Lücke zwi­schen dem, was Admi­nis­tra­to­ren lokal kon­trol­lier­ten, und dem, was remo­te ope­rier­te. Sicher­heits­for­scher bei Shadow­ser­ver iden­ti­fi­zier­ten über 11.000 inter­net­fä­hi­ge Gerä­te mit akti­vier­tem For­ti­Cloud SSO, was eine mas­si­ve Angriffs­flä­che schuf.

Die­se zwei­tei­li­ge Schwach­stel­le bedeu­te­te, dass alles rich­tig zu machen die Netz­wer­ke trotz­dem expo­niert ließ. Frei­heits­lie­ben­de Admi­nis­tra­to­ren lern­ten eine har­te Lek­ti­on : manch­mal erfor­dert Schutz Kor­rek­tu­ren außer­halb ihrer direk­ten Kontrolle.

Sichern Sie Ihre FortiGate-Umgebung : Sofortige Schadensbegrenzungsmaßnahmen

Sper­ren Sie ver­wund­ba­re Sys­te­me ab, bevor Angrei­fer erneut zuschla­gen. Orga­ni­sa­tio­nen müs­sen sofort umfas­sen­de For­ti­OS-Sicher­heits­maß­nah­men imple­men­tie­ren. Begin­nen Sie mit Firm­ware-Updates auf Ver­si­on 7.6.6 oder spä­ter, um gefähr­li­che Lücken wie CVE-2026–24858 zu schlie­ßen. Stär­ken Sie Zugangs­kon­trol­len und Authen­ti­fi­zie­rungs­me­tho­den in Ihrem gesam­ten Netzwerk.

Wesent­li­che sofor­ti­ge Maßnahmen :

1. Set­zen Sie stren­ge Pass­wort-Richt­li­ni­en durch und akti­vie­ren Sie Mul­ti-Fak­tor-Authen­ti­fi­zie­rung über LDAP, RADIUS oder SAML SSO für alle Administrator-Konten
2. Akti­vie­ren Sie Über­wa­chungs­tools ein­schließ­lich SNMPv3, Net­Flow und sFlow, um ver­däch­ti­ge Akti­vi­tä­ten in Echt­zeit zu verfolgen
3. Über­prü­fen Sie Richt­li­ni­en-Durch­set­zungs­re­geln durch Ent­fer­nung red­un­dan­ter Kon­fi­gu­ra­tio­nen und Anwen­dung von Sicher­heits­pro­fi­len mit impli­zi­ten Verweigerungsregeln

Regel­mä­ßi­ge Prü­fungs­prak­ti­ken hal­ten Umge­bun­gen lang­fris­tig sicher. Benut­zer­schu­lung stat­tet Teams aus, um Bedro­hun­gen früh­zei­tig zu erken­nen. Set­zen Sie Admi­nis­tra­tor-Leer­lauf­zei­ten unter zehn Minu­ten fest. Beschrän­ken Sie den Zugang zur Ver­wal­tungs­schnitt­stel­le nur auf ver­trau­ens­wür­di­ge IP-Adres­sen, um unbe­fug­te Ein­stiegs­punk­te zu ver­hin­dern. Sam­meln Sie Pro­to­kol­le in siche­rem exter­nem Spei­cher für umfas­sen­de Ana­ly­se- und foren­si­sche Untersuchungsmöglichkeiten.

Quellenangabe

• https://thehackernews.com/2026/02/ai-assisted-threat-actor-compromises.html
• https://aws.amazon.com/blogs/security/ai-augmented-threat-actor-accesses-fortigate-devices-at-scale/
• https://www.wiu.edu/cybersecuritycenter/cybernews.php
• https://socprime.com/blog/cve-2026–24858-vulnerability/
• https://arcticwolf.com/resources/blog/arctic-wolf-observes-malicious-configuration-changes-fortinet-fortigate-devices-via-sso-accounts/
• https://www.darkreading.com/vulnerabilities-threats/fortinet-new-zero-day-malicious-sso-logins
• https://www.fortinetfederal.com/blog/federal-cybersecurity-in-2026-resilience-in-an-era-of-ai-and-supply-chain-risk/
• https://cyberscoop.com/ortinet-zero-day-cve-2026–24858-forticloud-sso-auth-bypass/
• https://www.esentire.com/security-advisories/confirmed-zero-day-vulnerability-in-fortinet-products-cve-2026–24858
• https://www.aha.org/system/files/media/file/2026/01/h‑isac-tlp-white-threat-bulletins-active-exploitations-of-an-authentication-bypass-vulnerability-on-administrative-forticloud-sso‑1–28-2024.pdf