Firewall FortiGate Violati: Gli Attaccanti Sfruttano Zero-Day Critici per Rubare Segreti di Rete

Il 12 dicembre 2025, il mondo del cybercrimine ha cambiato marcia. Nel giro di poche ore dalla divulgazione pubblica da parte di Fortinet di due falle critiche - CVE-2025-59718 e CVE-2025-59719 - gli attaccanti si sono fiondati, sfruttando dispositivi non aggiornati in una campagna globale per prendere il controllo dei firewall FortiGate. La minaccia non è teorica: sono in corso violazioni reali, e la posta in gioco non potrebbe essere più alta per le organizzazioni che si affidano a FortiGate per proteggere le proprie fortezze digitali.

Dentro l’Exploit: Come Gli Attaccanti Sono Entrati

Le vulnerabilità, ciascuna con un punteggio critico di 9.1 sulla scala CVSS, prendono di mira il meccanismo Single Sign-On (SSO) sui dispositivi FortiGate. Sfruttando una falla nella validazione dei messaggi SAML, gli attaccanti possono forgiare token di autenticazione, sbloccando di fatto l’interfaccia amministrativa senza credenziali. Una volta dentro, si muovono rapidamente per esportare i file di configurazione - un vero tesoro di segreti di rete, inclusi password hashate per VPN e account locali.

Secondo un rapporto di Arctic Wolf, la catena d’attacco è inquietantemente semplice. Quando gli amministratori registrano i dispositivi tramite la GUI di FortiCare, il FortiCloud SSO è abilitato di default - a meno che non venga disabilitato esplicitamente. Gli attaccanti stanno scansionando dispositivi esposti, con intrusioni osservate provenienti da alcuni provider di hosting, in particolare The Constant Company LLC (USA), Bl Networks e Kaopu Cloud HK Limited (Asia). Gli stessi IP vengono ripetutamente segnalati nei tentativi di esfiltrazione, suggerendo una campagna coordinata.

Perché Queste Vulnerabilità Sono Importanti

Le configurazioni dei firewall sono il vero bottino per qualsiasi attaccante. Non solo contengono regole e policy sensibili, ma anche hash di account e credenziali VPN che possono essere decifrate offline. Una violazione riuscita potrebbe consentire movimenti laterali, accesso persistente e persino il completo controllo della rete.

Fortinet ha rilasciato versioni patchate - FortiOS 7.6.4, 7.4.9, 7.2.12 e 7.0.18 - ma molte organizzazioni sono in ritardo con gli aggiornamenti. Per chi non può applicare subito le patch, la disabilitazione dell’SSO tramite CLI è una misura di mitigazione essenziale.

E Adesso?

La rapidità e la portata di questi attacchi sottolineano il pericolo dei ritardi nell’applicazione delle patch nell’era dello sfruttamento automatizzato. Le organizzazioni devono agire ora: aggiornare, verificare e monitorare i segnali di compromissione. La finestra tra divulgazione e sfruttamento di massa si sta chiudendo rapidamente - e questo episodio è un chiaro promemoria che anche le migliori difese sono forti solo quanto il loro aggiornamento più debole.