AutoJack in AutoGen Studio e FortiBleed minacciano agenti AI e firewall Fortinet

L’evoluzione delle minacce informatiche continua a dimostrare come anche strumenti progettati per aumentare sicurezza e produttività possano trasformarsi in vettori di compromissione quando vengono combinati con configurazioni deboli o modelli di fiducia implicita. Due casi emersi nelle ultime settimane evidenziano questa tendenza in modo particolarmente chiaro. Da una parte Microsoft ha corretto AutoJack, una vulnerabilità critica individuata in AutoGen Studio, piattaforma utilizzata per sviluppare e orchestrare agenti basati su intelligenza artificiale. Dall’altra una vasta operazione denominata FortiBleed ha compromesso decine di migliaia di dispositivi Fortinet FortiGate attraverso campagne automatizzate di furto credenziali e monitoraggio del traffico di autenticazione. Sebbene i due scenari riguardino tecnologie profondamente diverse, condividono un elemento fondamentale: gli attaccanti hanno sfruttato meccanismi considerati affidabili per ottenere accesso a sistemi critici e ampliare la superficie di attacco.

AutoJack sfrutta il Model Context Protocol di AutoGen Studio

La vulnerabilità AutoJack è stata individuata all’interno di AutoGen Studio, uno degli strumenti più utilizzati per la sperimentazione e lo sviluppo di agenti AI multi-modello. Il problema coinvolgeva l’implementazione del Model Context Protocol (MCP) tramite WebSocket, un componente destinato a facilitare la comunicazione tra agenti, modelli linguistici e strumenti esterni. I ricercatori hanno scoperto che una combinazione di errori logici permetteva a un attaccante di ottenere l’esecuzione di codice arbitrario sul sistema che ospitava AutoGen Studio. La catena di attacco non richiedeva exploit particolarmente sofisticati: bastava convincere un agente dotato di capacità di navigazione web a visitare una pagina appositamente preparata dall’aggressore. Da quel momento il browser headless utilizzato dall’agente diventava il veicolo per instaurare una connessione verso il servizio locale vulnerabile.

Tre debolezze concatenate hanno reso possibile l’RCE

L’attacco si basava sulla combinazione di tre problemi distinti. Il primo riguardava la gestione delle connessioni localhost, che non implementava una verifica rigorosa dell’origine delle richieste. Il secondo consisteva nell’esclusione delle route /api/mcp/ dai normali controlli di autenticazione. Il terzo problema era legato alla gestione dei parametri server_params, che potevano essere passati attraverso URL codificati in Base64 e utilizzati senza adeguata sanitizzazione durante l’avvio dei processi. Combinando questi tre elementi, una pagina malevola poteva aprire un canale WebSocket verso AutoGen Studio e inviare istruzioni contenenti comandi arbitrari. L’applicazione interpretava tali parametri come richieste legittime e procedeva all’esecuzione direttamente sul sistema host.

Come funzionava l’esecuzione remota di codice

Nel caso dimostrato dai ricercatori, il codice JavaScript presente nella pagina controllata dall’attaccante apriva una connessione verso l’endpoint locale di AutoGen Studio e inviava un payload progettato per eseguire comandi come calc.exe o script PowerShell codificati. Poiché la connessione proveniva dal browser dell’agente AI eseguito sulla stessa macchina, il controllo dell’origine veniva aggirato automaticamente. L’assenza di autenticazione sulle route MCP completava la catena di compromissione. Il risultato era l’esecuzione del comando con gli stessi privilegi dell’utente che aveva avviato AutoGen Studio. In ambienti di sviluppo questo scenario poteva trasformarsi rapidamente in un vettore per l’installazione di backdoor, il furto di credenziali o l’esecuzione di ulteriori payload persistenti.

Microsoft ha corretto il problema prima della distribuzione pubblica

Uno degli aspetti più rilevanti della vicenda riguarda la tempestività della correzione. Microsoft ha identificato e risolto la vulnerabilità prima che il codice interessato venisse distribuito attraverso PyPI. Le versioni installate normalmente tramite pip, comprese release come autogenstudio 0.4.2.2, non contenevano infatti il codice vulnerabile. L’esposizione ha riguardato esclusivamente build di sviluppo disponibili per un periodo limitato sul branch principale del progetto. La mitigazione è stata introdotta attraverso il commit b047730, che ha modificato la gestione delle connessioni MCP e rimosso le eccezioni che bypassavano i controlli di autenticazione. È stato inoltre introdotto un nuovo endpoint dedicato alla gestione sicura dei parametri lato server.

Le implicazioni di sicurezza per gli ambienti AI

AutoJack rappresenta un esempio significativo dei rischi emergenti associati ai sistemi agentici. Gli agenti AI moderni sono progettati per interagire con contenuti web, applicazioni locali e servizi esterni. Questa elevata integrazione aumenta inevitabilmente la superficie di attacco. Il caso dimostra come un semplice contenuto web possa trasformarsi in un vettore di compromissione quando l’agente dispone di privilegi eccessivi o opera in ambienti non adeguatamente isolati. Microsoft raccomanda di eseguire AutoGen Studio all’interno di ambienti separati, limitare il binding ai soli indirizzi locali, utilizzare reverse proxy con autenticazione e trattare ogni parametro proveniente dagli strumenti degli agenti come potenzialmente controllato da un attaccante.

FortiBleed compromette decine di migliaia di firewall Fortinet

Parallelamente alla scoperta di AutoJack, i ricercatori hanno documentato una vasta campagna denominata FortiBleed, attiva almeno da febbraio 2026. L’operazione ha colpito oltre 86.000 firewall Fortinet FortiGate distribuiti in 194 paesi, trasformando dispositivi di sicurezza perimetrale in piattaforme di raccolta credenziali. Diversamente da molte campagne recenti, gli aggressori non hanno sfruttato vulnerabilità zero-day né bug sconosciuti. L’intera operazione si è basata sull’uso sistematico di credential stuffing, attacchi brute force e password deboli o riutilizzate. Una volta ottenuto l’accesso amministrativo tramite SSH, gli operatori distribuivano strumenti progettati per monitorare e intercettare il traffico di autenticazione che attraversava il firewall.

FortigateSniffer trasforma i firewall in piattaforme di intercettazione

Lo strumento principale utilizzato nella campagna è un malware sviluppato in Golang denominato FortigateSniffer. Il software sfrutta il comando nativo di FortiOS chiamato diagnose sniffer packet, normalmente utilizzato per attività di troubleshooting e diagnostica. Gli aggressori hanno automatizzato il processo trasformando questa funzione amministrativa in un sistema permanente di monitoraggio del traffico. Il tool intercettava richieste di autenticazione provenienti da una vasta gamma di protocolli enterprise, tra cui RADIUS, NTLM, Kerberos, LDAP, SMB, RDP, Microsoft SQL Server, MySQL, PostgreSQL e SMTP. I dati raccolti venivano successivamente elaborati per estrarre credenziali, token e hash utilizzabili in ulteriori operazioni offensive.

SNIFTRAN e Hashcat completano la catena di furto credenziali

Le informazioni intercettate non venivano semplicemente archiviate. Un componente denominato SNIFTRAN ricostruiva il traffico acquisito generando file PCAP completi. Questi venivano poi elaborati attraverso toolkit Python progettati per produrre hash compatibili con Hashcat. Secondo le analisi, gli operatori della campagna disponevano di un’infrastruttura basata su almeno 36 GPU enterprise utilizzata per il cracking distribuito delle password. Oltre al traffico intercettato, gli aggressori scaricavano anche file di configurazione direttamente dai dispositivi compromessi, ottenendo ulteriori credenziali hashate e informazioni sensibili relative alle reti bersaglio.

Oltre 73.000 credenziali VPN sottratte in tutto il mondo

I risultati della campagna sono particolarmente significativi. Gli operatori di FortiBleed avrebbero ottenuto credenziali VPN associate a oltre 73.000 dispositivi Fortinet, mantenendo un database contenente più di 86.644 account verificati. Una parte consistente delle credenziali apparteneva ad account amministrativi con nomi generici derivati da varianti del termine admin. Il processo era fortemente automatizzato: ogni nuova credenziale acquisita veniva immediatamente reinserita negli scanner utilizzati per identificare ulteriori dispositivi vulnerabili. Questo meccanismo ha trasformato l’operazione in una catena di compromissione autoalimentata capace di espandersi rapidamente su scala globale.

Telecomunicazioni, governi e banche tra le vittime

L’analisi delle infrastrutture coinvolte mostra un impatto estremamente ampio. Tra le vittime figurano organizzazioni operanti nei settori delle telecomunicazioni, della sanità, della finanza, delle infrastrutture critiche e delle pubbliche amministrazioni. La concentrazione maggiore di sistemi compromessi è stata osservata negli Stati Uniti e in India, ma la distribuzione geografica coinvolge praticamente tutti i continenti. Gli investigatori attribuiscono l’operazione a un gruppo di lingua russa, anche se l’attribuzione resta basata principalmente su indicatori operativi e infrastrutturali piuttosto che su prove definitive. In molti casi i firewall compromessi sono stati utilizzati come listening post per monitorare il traffico VPN e raccogliere informazioni utili per operazioni successive di initial access brokerage.

AutoJack e FortiBleed mostrano i rischi della fiducia implicita

Sebbene appartengano a categorie tecnologiche molto diverse, AutoJack e FortiBleed condividono una lezione comune. Entrambe le minacce sfruttano sistemi progettati per semplificare operazioni legittime e trasformano tali meccanismi in strumenti offensivi. Nel caso di AutoGen Studio, la fiducia nei processi locali e nei protocolli MCP ha aperto la strada all’esecuzione di codice remoto. Nel caso dei firewall Fortinet, la fiducia nelle credenziali amministrative e nelle funzionalità diagnostiche ha consentito agli aggressori di intercettare enormi quantità di dati sensibili. Per gli sviluppatori di strumenti AI ciò significa adottare modelli di isolamento più rigorosi e limitare i privilegi degli agenti. Per gli amministratori di rete diventa invece essenziale implementare autenticazione multifattore, utilizzare credenziali uniche e monitorare costantemente gli accessi amministrativi. Entrambi gli incidenti dimostrano che nell’attuale panorama delle minacce la sicurezza non dipende solo dall’assenza di vulnerabilità, ma soprattutto dalla capacità di ridurre al minimo i presupposti di fiducia che gli attaccanti possono sfruttare.