Netcrook Logo
👤 NEONPALADIN
🗓️ 30 Sep 2025   🌍 North America

La trappola nascosta di Fortinet: bug critico in FortiDDoS-F espone le reti a comandi non autorizzati

Una vulnerabilità recentemente scoperta negli appliance FortiDDoS-F di Fortinet potrebbe consentire a insider privilegiati di prendere il controllo dei sistemi tramite comandi proibiti - sollevando allarmi per le aziende di tutto il mondo.

In breve

  • La vulnerabilità CVE-2024-45325 riguarda gli appliance FortiDDoS-F di Fortinet.
  • Permette ad attaccanti con accesso di alto livello di eseguire comandi non autorizzati tramite la riga di comando.
  • Classificata come ‘media’ con un punteggio CVSSv3 di 6.5, ma il rischio per la riservatezza e l’integrità del sistema è elevato.
  • Sono disponibili patch e percorsi di migrazione per tutte le versioni interessate; si raccomanda un aggiornamento immediato.
  • Il bug è stato scoperto e segnalato internamente dal team di sicurezza di Fortinet.

La backdoor che nessuno si aspettava

Immaginate una fortezza all’avanguardia progettata per respingere assedi digitali - eppure, dietro le mura, una guardia fidata possiede le chiavi per aprire ogni cancello. Questo è lo scenario inquietante che si trovano ad affrontare le organizzazioni che si affidano a FortiDDoS-F di Fortinet, una difesa di prima linea contro i più brutali attacchi DDoS distribuiti al mondo. Una falla di sicurezza critica, annidata nell’interfaccia a riga di comando (CLI), potrebbe consentire a qualsiasi insider con privilegi elevati di prendere il controllo totale con pochi tasti.

Come è successo?

Scoperta e divulgata dallo specialista di sicurezza prodotto di Fortinet, Théo Leleu, la falla (CVE-2024-45325) è un classico esempio di vulnerabilità di injection di comandi - classificata ufficialmente come CWE-78. In termini semplici, il sistema non filtra correttamente i caratteri “pericolosi” durante l’elaborazione dei comandi, come un cassiere che non controlla le banconote false. Se un utente privilegiato (ad esempio un amministratore o un tecnico IT) è già connesso localmente, potrebbe creare richieste malevole alla CLI ed eseguire qualsiasi codice desideri - aprendo la porta a furto di dati, sabotaggio o al completo dirottamento del sistema.

Sebbene il bug non consenta l’accesso a chiunque dall’esterno, la sua presenza in infrastrutture critiche è preoccupante. Una volta all’interno, un attaccante potrebbe cancellare le prove, creare backdoor o disattivare i sistemi difensivi progettati per fermare gli attacchi DDoS - trasformando il guardiano in un sabotatore.

La storia si ripete: un tallone d’Achille già noto

Non è la prima volta che Fortinet si confronta con vulnerabilità legate ai privilegi. Nel 2022, un bug simile di injection di comandi negli appliance VPN FortiOS ha portato a diverse violazioni di alto profilo, con attaccanti che hanno sfruttato punti deboli nelle funzioni amministrative. Nell’industria della cybersecurity, la mancata sanitizzazione degli input rimane un tema ricorrente - e costoso. Organizzazioni come CISA hanno più volte avvertito che anche le vulnerabilità “interne” possono essere sfruttate da attaccanti determinati che ottengono un primo accesso tramite credenziali rubate o social engineering.

Implicazioni globali e ripercussioni di mercato

Con gli appliance FortiDDoS-F distribuiti presso banche, telecomunicazioni e agenzie governative in tutto il mondo, le implicazioni sono di vasta portata. Un dispositivo di difesa DDoS compromesso potrebbe diventare una piattaforma di lancio per attacchi più ampi, mettendo a rischio servizi critici e dati sensibili. La rapida divulgazione e la disponibilità di patch da parte di Fortinet rappresentano una best practice del settore - ma l’incidente sottolinea una realtà crescente: anche i guardiani del cyberspazio non sono immuni da trappole nascoste all’interno delle proprie mura.

Cosa dovrebbero fare le organizzazioni?

Fortinet esorta tutti i clienti che utilizzano versioni interessate (dalla 6.1 alla 7.0.2) ad aggiornare o migrare immediatamente. Chi utilizza FortiDDoS-F 7.0 dovrebbe passare alla 7.0.3 o successiva, mentre gli utenti di rami più vecchi devono migrare alle release patchate. La vigilanza è fondamentale: gli amministratori dovrebbero controllare gli account privilegiati, monitorare attività insolite sulla CLI e assicurarsi che i sistemi critici non restino mai senza patch.

Nella partita a guardie e ladri della cybersecurity, ogni dettaglio trascurato può diventare un’arma. L’incidente FortiDDoS-F è un monito: fidarsi è bene, ma verificare è meglio - anche all’interno della propria fortezza digitale.

WIKICROOK

  • Command Injection: L’injection di comandi è una vulnerabilità in cui gli attaccanti ingannano i sistemi inducendoli a eseguire comandi non autorizzati inserendo input malevolo nei campi utente o nelle interfacce.
  • Privilege Escalation: L’escalation dei privilegi si verifica quando un attaccante ottiene accessi di livello superiore, passando da un account utente normale a privilegi di amministratore su un sistema o una rete.
  • Patch: Una patch è un aggiornamento software rilasciato per correggere vulnerabilità di sicurezza o bug nei programmi, aiutando a proteggere i dispositivi dalle minacce informatiche e migliorare la stabilità.
  • Command: Un comando è un’istruzione inviata a un dispositivo o software, spesso da un server C2, che lo dirige a eseguire azioni specifiche, talvolta per scopi malevoli.
  • DDoS Appliance: Un appliance DDoS è uno strumento hardware o software che protegge le organizzazioni da attacchi progettati per sovraccaricare e interrompere i servizi online.
NEONPALADIN NEONPALADIN
Cyber Resilience Engineer
← Back to news