Misstänkt AI-genererad angreppskod och 30 000 kapade enheter – akut läge för Fortinet-användare

Tre hål, aktiva angrepp – och klockan tickar

Det är sällan man ser den här kombinationen samtidigt: kritiska sårbarheter, bekräftade aktiva angrepp och en storskalig kampanj i full gång. Men det är exakt det läget som Fortinet-användare befinner sig i just nu.

Underrättelseföretaget Defused, som specialiserar sig på att kartlägga hur säkerhetshål faktiskt utnyttjas i praktiken, har identifierat tre sårbarheter i Fortinets FortiSandbox som nu aktivt angrips. De har beteckningarna CVE-2026-39808, CVE-2026-39813 och CVE-2026-25089 – och de är inte harmlösa kantfall.

De två förstnämnda klassades som kritiska och åtgärdades redan i april. CVE-2026-39813 gör det möjligt för en angripare att kringgå autentisering helt – alltså att ta sig in utan giltiga inloggningsuppgifter. CVE-2026-39808 är ett så kallat kommandoinsprutningsfel, vilket i praktiken innebär att angriparen kan köra godtycklig kod direkt på det drabbade systemet. Det är den typ av sårbarhet som systemutvecklare mardrömmer om.

Den tredje, CVE-2026-25089, åtgärdades så sent som i juni och tillåter obehöriga att på distans exekvera godtyckliga kommandon. Det gör den extra akut – patchen är färsk, och många organisationer har ännu inte hunnit rulla ut uppdateringen.

AI-genererade angreppskod – ett illavarslande mönster

En detalj i Defuseds rapport förtjänar extra uppmärksamhet: angreppsmetoden som tagits fram för CVE-2026-25089 verkar ha skapats med hjälp av artificiell intelligens. Det är inte unikt längre – vi ser en tydlig trend där angripare använder stora språkmodeller för att snabba på och automatisera framtagningen av angreppskod.

Intressant nog fungerade inte angreppet vid det första observerade försöket. Det tyder på ett iterativt arbetssätt, troligen med AI som hjälpmedel för felsökning och förfining. Det är exakt samma process en legitim utvecklare skulle använda – fast i fel syfte.

Det här är inget hot för framtiden. Det händer nu.

FortiBleed: 30 000 kapade enheter i en självförstärkande kampanj

Parallellt med de riktade angreppen har säkerhetsföretaget SOCRadar avslöjat en ännu mer oroande kampanj, döpt till FortiBleed. Mer än 30 000 Fortinet-brandväggar och VPN-portar har kapats i en pågående global operation.

Metodiken är elegant i sin enkelhet – och effektiv av precis den anledningen. Angriparna genomsöker internet systematiskt efter Fortinet-enheter, provar kända och läckta lösenord, och dokumenterar varje lyckad inloggning. De komprometterade enheterna används sedan som avlyssningspunkter – de blir en del av angriparnas infrastruktur och kan användas för att kartlägga intern nätverkstrafik, skörda inloggningsuppgifter och bereda mark för djupare intrång.

Det är ett självförstärkande system. Varje kapad enhet gör nästa angrepp enklare.

Vad ska företag göra nu?

Om din organisation använder Fortinet-produkter – och det gör väldigt många svenska företag och myndigheter – finns det tre omedelbara åtgärder att prioritera:

1. Installera tillgängliga säkerhetsuppdateringar omedelbart. Alla tre sårbarheterna har åtgärdats av Fortinet. Det finns ingen teknisk anledning att vänta.
2. Granska inloggningsloggar. Leta efter ovanliga inloggningsmönster, okända IP-adresser eller autentiseringsförsök utanför kontorstid.
3. Byt standardlösenord och genomför lösenordsrevision. FortiBleed bygger på just det faktum att många enheter fortfarande använder förutsägbara eller tidigare läckta lösenord.

Den underliggande lärdomen är gammal men tydligen svår att internalisera: ouppdaterade nätverksprodukter är lågt hängande frukt. En brandvägg som inte patchats är inte ett skydd – den är en öppen dörr med en skylt som säger "välkommen".

Angreppen mot Fortinets produkter är inte ett isolerat fenomen. Det är en påminnelse om att säkerhetsarbete inte är ett projekt man avslutar – det är ett kontinuerligt underhållsarbete, precis som att hålla ett operativsystem uppdaterat eller byta ut utgångna certifikat.