Fantasmi nel Firewall: la Crisi Silenziosa di Fortinet Lascia i Vecchi Sistemi Esposti

In una fredda mattina di novembre, una tempesta silenziosa si è abbattuta sul mondo della cybersecurity. I team di sicurezza di tutto il mondo si sono precipitati ai ripari quando è emersa la notizia: vulnerabilità critiche venivano attivamente sfruttate nel firewall per applicazioni web di punta di Fortinet, FortiWeb. Ma man mano che i ricercatori approfondivano, è emerso uno schema inquietante - una scia di patch silenziose, versioni non supportate e un punto cieco che potrebbe perseguitare le organizzazioni per mesi a venire.

Approfondimento: Come la Politica delle Patch di Fortinet si è Ritorta Contro

FortiWeb di Fortinet rappresenta una linea di difesa fondamentale per innumerevoli organizzazioni, proteggendo le applicazioni web da una raffica di minacce online. A novembre, l’azienda ha riconosciuto due gravi vulnerabilità - una che consente agli attaccanti di attraversare le directory (CVE-2025-64446), l’altra che apre la porta a pericolose esecuzioni di comandi remoti (CVE-2025-58034). Entrambe sono state confermate come già sfruttate “in the wild”, suscitando allarme nella comunità della sicurezza.

Ma il vero shock è arrivato dalla ricerca di Rapid7, che ha scoperto che le vulnerabilità non erano limitate alle versioni supportate (dalla 7.0.0 alla 8.0.1), come inizialmente dichiarato da Fortinet. Il ricercatore principale Stephen Fewer ha scoperto che anche le vecchie versioni 6.x non supportate erano altrettanto vulnerabili. Per le organizzazioni che utilizzano sistemi legacy - spesso per motivi di compatibilità o di budget - questa rivelazione significa che la loro “soluzione di sicurezza” potrebbe in realtà essere l’anello più debole.

La situazione è stata aggravata dalla gestione della divulgazione iniziale da parte di Fortinet. Invece di pubblicare un avviso standard e un identificativo CVE, l’azienda ha distribuito una patch silenziosa - un aggiornamento senza comunicazione chiara. Per i team di sicurezza, ciò ha significato nessuna indicazione su cosa cercare, nessuna comprensione della gravità della minaccia e nessun modo per dare priorità alla risposta. Come ha affermato Ryan Emmons di Rapid7, “Abbiamo visto lo sfruttamento in the wild prima ancora che venissero assegnati i CVE, il che è un duro colpo per i difensori.”

Ora che le vulnerabilità sono elencate nel catalogo delle Vulnerabilità Note Sfruttate del governo USA, è iniziata la corsa contro il tempo. Sebbene non ci siano ancora prove dirette di attacchi alle versioni più vecchie, la sola esistenza delle falle - e la mancanza di patch ufficiali per le release non supportate - significa che la minaccia è tutt’altro che finita.

Conclusione: Un Campanello d’Allarme per la Sicurezza Legacy

La crisi silenziosa di Fortinet mette in luce una pericolosa lacuna nell’ecosistema della sicurezza. Quando i fornitori applicano patch in silenzio senza trasparenza e le organizzazioni continuano a mantenere in vita sistemi non supportati, gli attaccanti trovano crepe in cui infiltrarsi. La lezione? I difensori hanno bisogno di più delle sole patch - servono comunicazioni chiare, avvisi tempestivi e un impegno a supportare l’intero ciclo di vita della sicurezza. Altrimenti, i fantasmi nel firewall continueranno a perseguitarci tutti.

Glossario WIKICROOK

Web Application Firewall (WAF)

Un sistema di sicurezza che filtra, monitora e blocca il traffico HTTP da e verso un’applicazione web per proteggerla dagli attacchi.

Path Traversal

Una vulnerabilità che consente agli attaccanti di accedere a file e directory al di fuori della cartella prevista, potenzialmente esponendo dati sensibili.

Command Injection

Un tipo di attacco in cui comandi malevoli vengono inseriti in un programma, permettendo all’attaccante di eseguire codice sul sistema bersaglio.

Patch Silenziosa

Un aggiornamento software che corregge una vulnerabilità senza divulgazione pubblica o indicazioni dettagliate, rendendo più difficile la risposta dei difensori.

Catalogo delle Vulnerabilità Note Sfruttate

Un elenco mantenuto dalla Cybersecurity and Infrastructure Security Agency (CISA) degli Stati Uniti delle vulnerabilità attivamente sfruttate dagli attaccanti.