Netcrook Logo
👤 KERNELWATCHER
🗓️ 14 Jan 2026  

Grave falla Fortinet: il varco silenzioso per hacker remoti

Una vulnerabilità appena scoperta in FortiOS e FortiSwitchManager lascia le reti aziendali esposte all’esecuzione di codice da remoto - e agli attaccanti non serve nemmeno una password.

Sembra il sogno a occhi aperti di un cybercriminale: una falla sepolta in profondità dentro le mura digitali delle difese delle Fortune 500, invisibile a occhio nudo, che apre silenziosamente i cancelli a chiunque abbia il know-how giusto. Non è finzione: è la gelida realtà per le organizzazioni che utilizzano i diffusissimi FortiOS e FortiSwitchManager di Fortinet, pilastri della sicurezza che ora si scopre ospitino una vulnerabilità di elevata gravità, sfruttabile da remoto. Mentre la corsa alle patch si scontra con il rischio di sfruttamento, incombe una domanda: quante reti sono già esposte?

Fatti rapidi

  • La vulnerabilità CVE-2025-25249 consente l’esecuzione di codice da remoto senza autenticazione tramite un buffer overflow nei dispositivi Fortinet.
  • Valutata 7,4 (Alta) nella scala CVSS v3.1, la falla interessa più versioni di FortiOS e FortiSwitchManager.
  • Gli attaccanti possono innescare la falla semplicemente inviando richieste di rete appositamente costruite - nessun login richiesto.
  • Fortinet sollecita l’applicazione immediata delle patch; le mitigazioni prevedono la restrizione dell’accesso di rete ai servizi vulnerabili.
  • Il problema è stato scoperto internamente e annunciato il 13 gennaio 2026, dando il via a sforzi di mitigazione a livello globale.

L’anatomia di una minaccia silenziosa

Al centro di questo incidente c’è un buffer overflow basato su heap (CWE-122) annidato nel demone “cw_acd” - un componente software responsabile della gestione della connettività fabric e del controllo degli accessi sugli apparati di sicurezza Fortinet. Questa falla non è una semplice curiosità tecnica: è una linea diretta per gli attaccanti verso il centro nevralgico delle reti aziendali.

Ecco come si sviluppa: un attaccante, ovunque sulla rete, prepara una richiesta malevola che supera i limiti del buffer all’interno del demone cw_acd. Poiché non è richiesta autenticazione, l’attaccante aggira password e controlli utente, passando direttamente all’esecuzione di codice arbitrario - qualunque istruzione scelga - sul dispositivo bersaglio. In termini pratici, questo potrebbe significare installare malware, intercettare il traffico o persino disattivare controlli di sicurezza critici.

Con un punteggio CVSS di 7,4, il rischio della vulnerabilità è amplificato dalla bassa complessità e dall’accessibilità via rete. Le installazioni Fortinet esposte a Internet sono particolarmente a rischio, soprattutto quelle in ritardo con gli aggiornamenti di sicurezza. Il team di sicurezza di Fortinet ha individuato il problema e ha rilasciato patch per le versioni interessate di FortiOS e FortiSwitchManager, inclusi aggiornamenti urgenti per FortiOS 7.6.4, 7.4.9, 7.2.12, 7.0.18 e le prossime release 6.4.17, oltre a FortiSwitchManager 7.2.7 e 7.0.6.

Per le organizzazioni che non possono applicare subito le patch, Fortinet raccomanda di disabilitare l’accesso “fabric” sulle interfacce vulnerabili e di irrigidire le regole del firewall - in particolare bloccando il traffico CAPWAP-CONTROL sulle porte UDP 5246-5249. Agli amministratori viene inoltre consigliato di analizzare i log alla ricerca di attività sospette che prendano di mira il demone cw_acd e di mantenere alta l’attenzione per individuare segnali di esecuzione di codice non autorizzata.

Chi è a rischio - e cosa succede ora?

Con gli apparati Fortinet integrati in innumerevoli ambienti enterprise, l’impatto potenziale è enorme. Sebbene non sia stata confermata pubblicamente alcuna attività di sfruttamento in corso, la facilità dell’attacco e l’attrattiva del bersaglio rendono solo questione di tempo prima che i cybercriminali se ne accorgano. Nel mondo della difesa informatica, la velocità è tutto: applica la patch ora, oppure rischia di diventare l’ammonimento di domani.

WIKICROOK

  • Buffer Overflow: Un buffer overflow è una falla software in cui viene scritto troppi dati in memoria, potenzialmente consentendo agli hacker di sfruttare il sistema eseguendo codice malevolo.
  • Remote Code Execution: L’esecuzione di codice da remoto consente agli attaccanti di eseguire comandi sul tuo computer a distanza, spesso portando alla compromissione completa del sistema e al furto di dati.
  • CAPWAP: CAPWAP è un protocollo che gestisce centralmente gli access point wireless, semplificando l’amministrazione di rete ma richiedendo una sicurezza robusta per prevenire potenziali attacchi.
  • CVSS: CVSS (Common Vulnerability Scoring System) è un metodo standard per valutare la gravità delle falle di sicurezza, con punteggi da 0,0 a 10,0.
  • Daemon: Un demone è un processo in background che gira continuamente su un computer, svolgendo attività essenziali di sistema o di rete senza interazione diretta dell’utente.
Fortinet Remote Code Execution Cybersecurity
KERNELWATCHER KERNELWATCHER
Linux Kernel Security Analyst
← Back to news