Netcrook Logo
👤 SECPULSE
🗓️ 22 Jan 2026  

Fortezza Firewall Violata: i Dispositivi FortiGate Affrontano un’Incessante Impennata di Attacchi

I cybercriminali sfruttano falle nuove e persistenti nei firewall FortiGate, alimentando timori di patch incomplete e vulnerabilità rinnovate.

Tutto è iniziato con un tremolio nei log di rete: un accesso sconosciuto, un nuovo account amministrativo e, nel giro di pochi secondi, un silenzioso drenaggio di dati critici del firewall. Per le organizzazioni che si affidano ai firewall FortiGate, non è uno scenario ipotetico, ma una realtà agghiacciante mentre una nuova ondata di attacchi si abbatte sulle reti di tutto il mondo. In scene che ricordano l’ondata di attacchi informatici dello scorso dicembre, gli attori della minaccia stanno di nuovo aggirando le difese, sollevando interrogativi urgenti sull’efficacia delle recenti patch di sicurezza e sulla futura integrità di queste sentinelle digitali.

Fatti in breve

  • Gli aggressori stanno sfruttando bug di bypass dell’autenticazione (CVE-2025-59718, CVE-2025-59719) nei firewall FortiGate.
  • I nuovi attacchi automatizzano la creazione di utenti, la configurazione VPN e l’esfiltrazione dei dati.
  • Gli accessi malevoli prendono tipicamente di mira l’account predefinito [email protected].
  • Secondo ricercatori e utenti, le patch rilasciate a dicembre potrebbero non bloccare completamente lo sfruttamento.
  • Come mitigazione immediata è consigliato disabilitare l’accesso SSO di FortiCloud.

L’ultima offensiva, documentata dalla società di cybersecurity Arctic Wolf, sfrutta due vulnerabilità critiche nei prodotti Fortinet - CVE-2025-59718 e CVE-2025-59719. Queste falle, entrambe con un punteggio di gravità pari a 9,8, consentono agli aggressori di aggirare l’autenticazione single sign-on (SSO) tramite messaggi di risposta SAML appositamente costruiti. Sebbene FortiCloud SSO sia disabilitato per impostazione predefinita, diventa attivo ogni volta che un dispositivo viene registrato tramite la sua interfaccia utente, a meno che gli amministratori non siano abbastanza vigili da disattivarlo manualmente.

Nel giro di pochi giorni dal rilascio delle patch da parte di Fortinet a dicembre, gli aggressori sono entrati in azione, automatizzando gli assalti per creare nuovi account admin, modificare le impostazioni VPN ed estrarre configurazioni sensibili del firewall - talvolta nel giro di pochi secondi dall’ottenimento dell’accesso. Gli attacchi, ricondotti a una manciata di provider di hosting, prendono di mira in modo schiacciante l’account [email protected], suggerendo un approccio calcolato e sistematico.

Nonostante gli sforzi di patching del fornitore, sia i ricercatori sia gli utenti sui forum di sicurezza come Reddit esprimono preoccupazioni sul fatto che le correzioni possano essere incomplete. Arctic Wolf ammette incertezza sul fatto che l’attività attuale sia pienamente risolta dalle patch iniziali. Fortinet starebbe lavorando a ulteriori correzioni, ma il periodo intermedio lascia le organizzazioni in una posizione precaria.

Gli esperti di sicurezza sollecitano un’azione immediata: disabilitare la funzione di accesso FortiCloud SSO, rivedere gli account amministrativi e monitorare eventuali esportazioni insolite delle configurazioni. Con gli aggressori che si muovono rapidamente e l’automazione nel loro arsenale, la finestra per la mitigazione è stretta.

Mentre i cybercriminali continuano a sondare le debolezze e a sfruttare anche le più brevi lacune nella copertura delle patch, la saga FortiGate è un monito netto: nella cybersecurity, la vigilanza non è un atto una tantum, ma una battaglia continua e in evoluzione. Le organizzazioni devono agire ora - o rischiare di diventare il prossimo titolo di cronaca.

WIKICROOK

  • Firewall: Un firewall è una barriera digitale che monitora e controlla il traffico di rete per proteggere i sistemi interni da accessi non autorizzati e minacce informatiche.
  • Bypass dell’autenticazione: Il bypass dell’autenticazione è una vulnerabilità che consente agli aggressori di saltare o ingannare il processo di login, ottenendo accesso ai sistemi senza credenziali valide.
  • Single Sign: Il Single Sign-On (SSO) consente agli utenti di accedere a più servizi con un solo login, semplificando l’accesso ma aumentando il rischio se le credenziali vengono compromesse.
  • SAML: SAML è un protocollo che consente lo scambio sicuro di dati di autenticazione e autorizzazione, spesso usato per il single sign-on (SSO) tra provider di identità e provider di servizi.
  • Esfiltrazione: L’esfiltrazione è il trasferimento non autorizzato di dati sensibili dalla rete di una vittima a un sistema esterno controllato dagli aggressori.
FortiGate Cybersecurity Authentication Bypass
SECPULSE SECPULSE
SOC Detection Lead
← Back to news