Ricadute del firewall: una falla Fortinet non corretta lascia le aziende esposte

La vigilia di Natale, mentre gran parte del mondo rallentava, i ricercatori di sicurezza hanno lanciato un nuovo allarme: una pericolosa falla, vecchia di anni, nei firewall Fortinet viene di nuovo sfruttata attivamente. La vulnerabilità, divulgata originariamente nel 2020, sta ora mettendo a rischio oltre 10.000 organizzazioni, rivelando un inquietante schema di apatia informatica e configurazioni errate che potrebbe avere conseguenze devastanti.

Il ritorno di una minaccia nascosta

Rivelata per la prima volta nel luglio 2020, CVE-2020-12812 è una vulnerabilità nella SSL VPN di FortiOS di Fortinet - una popolare funzionalità di sicurezza usata dalle aziende per consentire ai dipendenti un accesso remoto sicuro. La falla riguarda un’autenticazione impropria: in specifiche configurazioni che coinvolgono il Lightweight Directory Access Protocol (LDAP), gli attaccanti possono aggirare l’autenticazione a due fattori e ottenere accesso diretto a reti sensibili.

Il dettaglio tecnico? I firewall FortiGate trattano i nomi utente come sensibili alle maiuscole/minuscole per impostazione predefinita, mentre molte directory LDAP no. Questa discrepanza crea una scappatoia. Se sfruttata, un criminale informatico può superare lo strato aggiuntivo di sicurezza che l’autenticazione a due fattori dovrebbe fornire - potenzialmente con nient’altro che un nome utente costruito ad arte.

Perché così tanti sono ancora a rischio?

Nonostante le patch siano disponibili da anni, la Shadowserver Foundation ha riferito che oltre 10.000 firewall Fortinet sono ancora vulnerabili. Le ragioni sono tristemente familiari: organizzazioni che non aggiornano i sistemi, scarsa consapevolezza delle insidie di configurazione e il mito persistente che le vecchie vulnerabilità svaniscano. In realtà, gli attaccanti spesso tornano su queste falle trascurate, soprattutto ora che gli strumenti di scansione automatizzata rendono più facile che mai trovare bersagli deboli.

Con un rinnovato sfruttamento osservato a fine 2023, Fortinet ha esortato i clienti a rivedere le configurazioni e applicare immediatamente le patch. Ma l’appello all’azione dell’azienda lascia anche intravedere un problema più ampio: molte organizzazioni potrebbero non rendersi nemmeno conto di essere state compromesse. Fortinet ha chiesto a chiunque abbia evidenze di impatto di farsi avanti - un invito alla trasparenza in un panorama di minacce che prospera sul silenzio.

Guardando avanti

Mentre la comunità della cybersicurezza affronta questa recrudescenza, una cosa è chiara: i pericoli delle vulnerabilità legacy non scompaiono mai davvero. Per le organizzazioni che si affidano ai prodotti Fortinet, vigilanza e patching proattivo sono le uniche difese contro un attacco che è al tempo stesso vecchio e nuovo. Nel mondo della sicurezza di rete, i fantasmi degli errori passati spesso ritornano - a volte giusto in tempo per le feste.

WIKICROOK

• Firewall: Un firewall è una barriera digitale che monitora e controlla il traffico di rete per proteggere i sistemi interni da accessi non autorizzati e minacce informatiche.
• Vulnerabilità: Una vulnerabilità è una debolezza nel software o nei sistemi che gli attaccanti possono sfruttare per ottenere accesso non autorizzato, rubare dati o causare danni.
• Due: L’autenticazione a due fattori (2FA) è un metodo di sicurezza che richiede due diversi tipi di identificazione per accedere a un account, rendendo più difficile l’hacking.
• LDAP (Lightweight Directory Access Protocol): LDAP è un protocollo per accedere e gestire servizi di directory, comunemente usato per l’autenticazione e la gestione centralizzata degli utenti nelle organizzazioni.
• Exploit: Un exploit è una tecnica o un software che sfrutta una vulnerabilità in un sistema per ottenere accesso non autorizzato, controllo o informazioni.