Oltre 48.000 firewall Fortinet FortiGate esposti agli attacchi: un rischio critico

firewall Fortinet

Oltre 48.000 firewall Fortinet FortiGate esposti agli attacchi: un rischio critico

Oltre 48.000 firewall Fortinet FortiGate esposti agli attacchi: un rischio critico

Nonostante i ripetuti avvertimenti relativi alla vulnerabilità critica CVE-2024-55591, oltre 48.000 firewall Fortinet FortiGate connessi a Internet rimangono vulnerabili agli attacchi, come evidenziato dalla Shadowserver Foundation.

CVE-2024-55591: lo sfruttamento della vulnerabilità

Il 10 gennaio 2025, i ricercatori di Arctic Wolf Labs hanno individuato una campagna di attacco mirata ai firewall FortiGate con interfacce di gestione esposte su Internet. Gli aggressori hanno sfruttato questa vulnerabilità zero-day per ottenere accesso amministrativo, modificare configurazioni, creare nuovi account o dirottare quelli esistenti, e stabilire tunnel SSL VPN per il movimento laterale ed estrazione di credenziali.

Fortinet ha successivamente confermato la vulnerabilità, fornendo patch, soluzioni alternative e indicatori di compromissione (IoC). L’azienda ha dichiarato di aver informato proattivamente i propri clienti, condividendo i dettagli tecnici con alcuni di loro prima della divulgazione pubblica.

Nello stesso giorno (14 gennaio), la Cybersecurity and Infrastructure Security Agency (CISA) degli Stati Uniti ha inserito la vulnerabilità nel suo catalogo delle vulnerabilità note sfruttate.

Fortinet fortigate

Aggiornamenti sulla campagna di attacco

Secondo Arctic Wolf, la campagna si è svolta tra il 16 novembre e il 27 dicembre 2024. Tuttavia, Kroll, una società di consulenza sui rischi, ha osservato attività di ricognizione iniziate già il 1° novembre 2024, riconducibili a infrastrutture controllate da attori malevoli.

“L’attività potrebbe essere iniziata prima, ma senza accesso diretto ai dispositivi compromessi, è impossibile confermarlo,” ha dichiarato George Glass, direttore generale associato di Kroll. La campagna appare opportunistica, senza limiti a specifici settori o regioni geografiche, e l’obiettivo finale degli attaccanti resta incerto.

Cosa devono fare le organizzazioni

Le organizzazioni che utilizzano i firewall FortiGate e i gateway FortiProxy devono adottare misure immediate per proteggere i loro dispositivi:

  • Applicare le patch di sicurezza rilasciate da Fortinet.
  • Rimuovere le interfacce di gestione da Internet o limitarne l’accesso solo a utenti interni fidati.
  • Controllare i dispositivi per la presenza di IoC e, se identificati, intraprendere azioni di risposta agli incidenti.

Nonostante questi avvertimenti, molti dispositivi vulnerabili rimangono esposti. Il 17 gennaio 2025, Shadowserver ha rilevato circa 52.000 dispositivi FortiGate vulnerabili connessi a Internet; cinque giorni dopo, quel numero è sceso solo a circa 48.000.

Distribuzione geografica

La maggior parte dei dispositivi vulnerabili si trova in Asia e Nord America, rendendo queste aree particolarmente critiche per il rischio di attacchi futuri.

L’inerzia di molte organizzazioni nell’adottare le contromisure suggerite sottolinea l’urgenza di sensibilizzare ulteriormente sulla gravità di questa vulnerabilità e sull’importanza di proteggere infrastrutture fondamentali per la sicurezza informatica globale.


Translate »
error: Il contenuto è protetto!!
Open chat
Salve,
possiamo aiutarti?