Incubi Zero-Click: Fortinet si affretta a sedare una tempesta critica di sicurezza

È il tipo di messaggio che fa raddrizzare sulla sedia i team di sicurezza: un’improvvisa ondata di patch da Fortinet, uno dei fornitori di cybersecurity più diffusi al mondo, che avverte di molteplici falle critiche - alcune sfruttabili senza alcuna autenticazione. Per le organizzazioni che si affidano ad appliance FortiFone e FortiSIEM, il tempo stringe per chiudere la porta a bug che potrebbero consentire agli attaccanti di prendere il controllo o esfiltrare configurazioni sensibili con una singola richiesta ben congegnata.

Il titolo più allarmante spetta a CVE-2025-64155, una falla di injection di comandi OS in FortiSIEM, con un punteggio quasi massimo di 9.4 sulla scala CVSS. Inviando una richiesta TCP appositamente costruita, anche un attaccante non autenticato potrebbe eseguire codice o comandi arbitrari sui nodi Super e Worker - di fatto prendendo il controllo di elementi centrali dell’infrastruttura di monitoraggio di rete. Sebbene i nodi Collector siano risparmiati, il rischio è abbastanza serio da spingere Fortinet a raccomandare, come misura temporanea, di limitare l’accesso alla porta phMonitor (7900).

Subito dietro arriva CVE-2025-47855, un bug critico nel portale web di FortiFone. Questa vulnerabilità consente ad attaccanti remoti - ancora una volta, senza bisogno di credenziali - di recuperare configurazioni sensibili del dispositivo tramite richieste HTTP o HTTPS manipolate. Nelle mani sbagliate, tali informazioni potrebbero fungere da blueprint per ulteriori attacchi o per movimenti laterali all’interno di una rete aziendale.

Oltre a questi due pezzi da novanta, l’avviso di Fortinet copre anche un overflow del buffer basato su heap ad alta gravità (CVE-2025-25249) nel demone cw_acd utilizzato da FortiOS e FortiSwitchManager. Anche questo problema potrebbe portare all’esecuzione di codice da remoto se lasciato senza patch. Le mitigazioni proposte da Fortinet per questa falla includono la disabilitazione dell’accesso “fabric” o il blocco di determinate porte CAPWAP, ma il messaggio dell’azienda è chiaro: applicare la patch alla prima occasione utile.

Ulteriori bug di gravità inferiore in FortiClientEMS, FortiVoice e FortiSandbox completano il pacchetto. Sebbene Fortinet affermi che non ci siano prove che queste falle siano sfruttate in natura (per ora), il ritmo serrato degli attacchi reali su vulnerabilità appena divulgate lascia poco spazio alla compiacenza. Gli utenti sono fortemente incoraggiati a consultare gli avvisi PSIRT di Fortinet e ad aggiornare senza indugio tutte le appliance interessate.

Man mano che i confini tra infrastruttura di rete, voce e sicurezza continuano a sfumare, l’impatto di una singola vulnerabilità non corretta diventa sempre più determinante. In un panorama di minacce in cui gli attaccanti sono rapidi nel trasformare in armi i bug appena scoperti, la differenza tra una notte tranquilla e un titolo su una violazione spesso si riduce alla velocità di patching - e alla vigilanza.

WIKICROOK

• OS Command Injection: L’OS Command Injection è una falla di sicurezza in cui gli attaccanti ingannano i sistemi inducendoli a eseguire comandi non autorizzati, compromettendo potenzialmente dati e controllo.
• CVSS: CVSS (Common Vulnerability Scoring System) è un metodo standard per valutare la gravità delle falle di sicurezza, con punteggi da 0.0 a 10.0.
• Heap: L’heap è una regione di memoria per l’allocazione dinamica, spesso presa di mira negli attacchi informatici a causa di una gestione impropria della memoria o di vulnerabilità.
• CAPWAP: CAPWAP è un protocollo che gestisce centralmente i punti di accesso wireless, semplificando l’amministrazione di rete ma richiedendo una sicurezza robusta per prevenire potenziali attacchi.
• Attacco senza autenticazione: Un attacco senza autenticazione è un cyberattacco in cui l’attaccante sfrutta un sistema senza effettuare il login o avere un account, aumentando rischio e scala.