I ricercatori hanno recentemente reso nota una campagna su larga scala, denominata “FortiBleed”, che comporta la compromissione e la divulgazione delle credenziali associate ai firewall FortiGate e ai dispositivi SSL VPN di Fortinet in contesti globali.

A differenza delle vulnerabilità tradizionali, FortiBleed non è un singolo CVE né una falla zero-day confermata. Rappresenta invece una campagna attiva di esposizione e sfruttamento delle credenziali che fa leva su credenziali riutilizzate e potenzialmente esposte su larga scala.

L’origine precisa delle credenziali utilizzate in questa campagna non è stata confermata. Tuttavia, l’attività è coerente con tecniche di riutilizzo e raccolta di credenziali su larga scala.

È stato osservato che la campagna ha colpito decine di migliaia di dispositivi Fortinet esposti a Internet in oltre 190 paesi, interessando organizzazioni nei settori delle infrastrutture critiche, della pubblica amministrazione e delle imprese.

Questa attività evidenzia il rischio legato al riutilizzo delle credenziali, alle interfacce di gestione esposte e a controlli di autenticazione insufficienti, in particolare sulle infrastrutture periferiche come i gateway VPN.

In cosa consiste la campagna

FortiBleed è caratterizzato da un modello di attacco altamente automatizzato, che combina diverse tecniche anziché basarsi su un unico exploit.

Le attività segnalate o osservate associate alla campagna includono:

• Riutilizzo delle credenziali e credential stuffing utilizzando grandi set di dati di credenziali note o esposte
• Scansione di massa di Internet per identificare dispositivi Fortinet esposti
• Tentativi di autenticazione su larga scala, comprese attività di forza bruta contro VPN e interfacce amministrative
• Possibile intercettazione o raccolta di dati di autenticazione da sistemi compromessi
• Riutilizzo di credenziali appena ottenute per espandere potenzialmente l’accesso

In molti casi, la campagna sembra basarsi su credenziali valide piuttosto che sullo sfruttamento di una specifica vulnerabilità del software, rendendone più difficile il rilevamento attraverso i tradizionali processi di gestione delle vulnerabilità.

Ambito e impatto

I rapporti pubblici indicano quanto segue:

• Fino a circa 73.000 endpoint di firewall e VPN Fortinet potrebbero essere associati a credenziali esposte
• Oltre 30.000 dispositivi presentano credenziali funzionanti verificate nei set di dati degli autori dell’attacco
• L’attività si estende a 194 paesi e coinvolge organizzazioni sia del settore pubblico che di quello privato

I sistemi interessati includono:

• Firewall FortiGate (obiettivo principale)
• Interfacce VPN SSL esposte a Internet
• Portali di gestione amministrativa per i dispositivi Fortinet

Una compromissione riuscita potrebbe consentire agli aggressori di:

• Ottenere accesso persistente ai dispositivi perimetrali della rete
• Monitorare e intercettare il traffico di rete
• Raccogliere ulteriori credenziali
• Accedere ai sistemi interni, come gli ambienti Active Directory

Chiarimento importante

È importante notare che:

• In molti casi, la campagna sembra basarsi su credenziali valide piuttosto che su una singola vulnerabilità software identificata.
• Le analisi attuali suggeriscono che la campagna comporti un ampio riutilizzo delle credenziali, sebbene i metodi precisi di accesso iniziale possano variare e non siano pienamente confermati.
• Alcune vulnerabilità note di Fortinet potrebbero essere sfruttate in modo opportunistico, ma non sono state confermate come causa principale della campagna

Attività delle minacce

Secondo quanto riportato, la campagna comporta:

• Attività altamente automatizzata, potenzialmente in grado di elaborare grandi volumi di tentativi di autenticazione
• Scansioni continue o ripetute e verifica delle credenziali sui sistemi esposti
• Riutilizzo di credenziali compromesse, che potrebbe consentire agli aggressori di ampliare l’accesso nel tempo

Alcuni rapporti suggeriscono che la responsabilità sia da attribuire ad attori malintenzionati organizzati e motivati da interessi economici, sebbene l’attribuzione sia ancora oggetto di indagine.

Cosa significa questo per le organizzazioni

FortiBleed evidenzia una tendenza verso:

• Campagne di intrusione su larga scala basate sulle credenziali
• Un approccio che prende di mira innanzitutto i dispositivi perimetrali della rete piuttosto che i sistemi interni
• Sfruttamento delle vulnerabilità legate all’identità piuttosto che, in primo luogo, dei difetti del software

Le organizzazioni potrebbero essere a rischio se:

• Espongono a Internet le interfacce di gestione Fortinet o i portali VPN
• Riutilizzano le password su più sistemi o non effettuano la rotazione delle credenziali
• Non applicano l’autenticazione a più fattori (MFA)
• Non dispongono di visibilità sulle attività di autenticazione sui dispositivi perimetrali della rete

Poiché potrebbero essere utilizzate credenziali valide, le violazioni potrebbero apparire come attività legittime, ritardandone il rilevamento.

Misure di mitigazione consigliate

1. Verificare se la propria organizzazione è interessata

Effettuare una ricerca tra i domini, gli indirizzi IP e le credenziali note della propria organizzazione utilizzando lo strumento di verifica dell’esposizione Fortinet di Hudson Rock (https://www.hudsonrock.com/fortinet) o altri strumenti esterni affidabili per determinare se compaiono in set di dati identificati pubblicamente associati a questa campagna. In caso di corrispondenze, procedere alla reimpostazione delle credenziali e alla revisione dei log.

2. Sostituire immediatamente le credenziali

• Reimpostare le password per tutti i dispositivi Fortinet e gli account amministrativi
• Applicate politiche di password complesse
• Evitare il riutilizzo di credenziali già compromesse

3. Applicare l’autenticazione a più fattori (MFA)

• Applicare l’MFA a tutti gli accessi VPN e amministrativi
• Dare priorità all’MFA sui servizi esposti a Internet

4. Limitare l’esposizione delle interfacce di gestione

• Limitare l'accesso ai portali amministrativi Fortinet e agli endpoint SSL VPN
• Utilizzare liste di indirizzi IP consentiti o restrizioni di accesso alla VPN
• Evitare, ove possibile, l’esposizione diretta alla rete Internet pubblica

5. Monitorare l’attività di autenticazione

• Esaminare i log alla ricerca di:
  • Tentativi di accesso insoliti
  • Ripetuti errori di autenticazione
  • Accessi da località geografiche inaspettate
• Indagare su eventuali comportamenti anomali delle sessioni

6. Verificare la presenza di indicatori di compromissione

• Verificare la presenza di account non autorizzati o modifiche alla configurazione
• Monitorare il traffico in uscita insolito dai dispositivi Fortinet
• Verificare l’integrità delle configurazioni di sistema

7. Applicare gli aggiornamenti di sicurezza

Sebbene FortiBleed non sia legato a una singola vulnerabilità, assicurarsi che:

• Che tutti i sistemi Fortinet siano completamente aggiornati
• che le vulnerabilità note e sfruttate siano state risolte

Sintesi dei rischi

FortiBleed rappresenta una campagna di attacchi globale ad alto impatto basata sulle credenziali, piuttosto che un tradizionale incidente legato a una vulnerabilità.

Poiché può avvalersi di credenziali valide e percorsi di accesso affidabili, è in grado di aggirare molti controlli di sicurezza convenzionali e di rimanere inosservato per lunghi periodi.

Le organizzazioni dovrebbero considerare questa attività come un rischio prioritario per la sicurezza del perimetro di rete e adottare misure immediate per verificare se all’interno del proprio ambiente siano presenti credenziali esposte o percorsi di accesso vulnerabili.

Se siete preoccupati per una qualsiasi delle minacce descritte in questo bollettino o avete bisogno di aiuto per determinare quali misure adottare per proteggervi dalle minacce più rilevanti che la vostra organizzazione deve affrontare, contattate il vostro account manager o, in alternativa, mettetevi incontatto con noi per scoprire come proteggere la vostra organizzazione.