'FortiBleed': 75.000 credenziali di accesso ai firewall Fortinet esposte

      I ricercatori di sicurezza hanno scoperto un vasto archivio di credenziali rubate per i firewall Fortinet, esponendo i dettagli di accesso per decine di migliaia di organizzazioni in tutto il mondo.

      Il dataset, soprannominato “FortiBleed”, contiene nomi utente, email e password in chiaro per 73.932 dispositivi unici di firewall e VPN Fortinet FortiGate in 194 paesi, toccando più di 21.000 domini. I ricercatori stimano che si tratti di circa la metà di tutti i firewall Fortinet attualmente esposti a Internet.

      I nomi presenti nei dati sembrano un elenco delle principali industrie globali: Oracle, Chevron, Lenovo, FedEx, Foxconn, Samsung, Comcast, Siemens, PwC e Accenture tra di essi, insieme a un appaltatore della difesa della NATO. Secondo Ars Technica, Fortinet stessa appare nell'elenco.

      Nessuna vulnerabilità zero-day appariscente, solo cracking di password industriale

      Una parte istruttiva di FortiBleed è ciò che non ha coinvolto: non ci sono segni di un nuovo difetto sbalorditivo nel software di Fortinet.

      Invece, i ricercatori affermano che gli attaccanti hanno scansionato Internet per dispositivi Fortinet, hanno provato un elenco curato di password già note e precedentemente trapelate contro ciascuno di essi e hanno registrato ogni accesso che ha funzionato.

      Ciò che mancava in novità lo hanno compensato in scala. Il gruppo ha spruzzato centinaia di migliaia di endpoint di accesso, ha intercettato gli hash di autenticazione VPN e li ha decifrati su un cluster dedicato di 45 GPU, eseguendo più di un miliardo di tentativi di credenziali. “La scala è la sofisticazione”, ha dichiarato il ricercatore Bob Diachenko ad Ars Technica.

      Una volta dentro un dispositivo, lo hanno utilizzato come un punto di ascolto, osservando il traffico che passava e raccogliendo eventuali nuove credenziali che fluivano. Un firewall, la cosa destinata a tenere fuori gli intrusi, è diventato il perno da cui osservavano.

      Diachenko, che ha trovato i dati sul server degli attaccanti, attribuisce la campagna a un gruppo di lingua russa. Le aziende di sicurezza SOCRadar e Hudson Rock hanno analizzato il bottino, e il ricercatore Kevin Beaumont ha confermato in modo indipendente che gli accessi sono reali e attuali. Come sono state ottenute per la prima volta le credenziali, probabilmente da file di configurazione FortiGate esportati, è ancora poco chiaro.

      Cosa significa e cosa non significa

      Un'importante avvertenza: le credenziali esposte non sono la stessa cosa di una rete completamente violata. La fuga mostra quali porte potrebbero essere aperte, non che ogni organizzazione dietro di esse sia stata compromessa.

      Il danno non è solo teorico, però. Diachenko afferma che almeno quattro organizzazioni sono state completamente compromesse, inclusa un'appaltatrice della difesa della NATO turca da cui sono stati rubati documenti riservati.

      Fortinet contesta la narrazione. Ha detto ai giornalisti che i dati sono “una condivisione di dati da incidenti precedenti, così come il bruteforcing delle credenziali”, e non sono “collegati a nessun incidente o avviso recente”. I ricercatori controbattono che i dispositivi interessati differiscono da quelli in una nota fuga di Fortinet del 2025, e che molti eseguono software recente, il che indica un bottino attuale.

      Si inserisce anche in un modello più ampio. Gli apparecchi VPN e firewall sono diventati un obiettivo preferito, con gruppi come Qilin che abusano ripetutamente dell'attrezzatura VPN aziendale per l'accesso iniziale.

      La soluzione è poco glamour. I ricercatori esortano gli utenti di Fortinet a ruotare le password di amministrazione e VPN di FortiGate, a imporre l'autenticazione a più fattori su tutti gli accessi esterni, a bloccare le interfacce di gestione su intervalli IP fidati, a rivedere i log per accessi sospetti e a rimuovere gli account inattivi.

      Se una singola password riutilizzata può aprire la porta d'ingresso, nessun firewall ti salverà.