// 3 ZERO-DAY · 5 CVE · 5 EXPLOIT · 1 ADVISORY NELLE ULTIME 24H
CISA stima 74.000 dispositivi Fortinet con credenziali compromesse. La campagna FortiBleed sfratta riutilizzo di credenziali e brute-force, non zero-day. Anche i

Il 17 giugno 2026, un reporting pubblico ha documentato l'esposizione su larga scala di credenziali di dispositivi FortiGate accessibili da Internet. Entro 48 ore, CISA e il National Cyber Security Centre del Regno Unito avevano emesso alert governativi. Fortinet ha confermato il 19 giugno: non si tratta di una nuova vulnerabilità zero-day, ma di una campagna di abuso che sfrutta credenziali precedentemente rubate e tecniche di brute-force. Il caso esemplifica il limite operativo del patching tradizionale: anche i sistemi aggiornati restano vulnerabili se i legacy hash circolano ancora e la migrazione al formato PBKDF2 non è stata completata.

Punti chiave
  • CISA stima credenziali esposte associate a circa 74.000 dispositivi Fortinet, tra firewall e VPN gateway.
  • Il meccanismo d'attacco è credential reuse da incidenti precedenti e brute-force/password-spraying, non una vulnerabilità zero-day.
  • Fortinet cita esplicitamente CVE-2026-24858 e CVE-2025-59718 come fonti di credenziali riutilizzate nella campagna di giugno 2026.
  • Un dispositivo patchato può rimanere compromesso se la migrazione PBKDF2 e la rimozione dei legacy hash sono incomplete, consentendo persistenza dell'attaccante.

Il meccanismo: credential reuse, non zero-day

Qualys, nella sua analisi tecnica, ha classificato FortiBleed come "not a newly disclosed Fortinet vulnerability". Il riutilizzo di credenziali — rubate o esposte in incidenti precedenti — rappresenta il vettore primario. Fortinet ha confermato ufficialmente: "This is not a new Fortinet vulnerability, and this activity is not related to any recent incident or advisory."

Il vendor identifica due fonti documentate di credenziali compromise: FG-IR-26-060 (CVE-2026-24858, SSO auth bypass, CVSS 10, QID 44861) e FG-IR-25-647 (CVE-2025-59718, FortiCloud SSO SAML auth bypass, CVSS 10, QID 44862). Entrambi i CVE sono inseriti nel Known Exploited Vulnerabilities catalog di CISA, rispettivamente dal 27 gennaio 2026 e dal 16 dicembre 2025. CVE-2025-59719, relativo a FortiWeb, è menzionato da Qualys come potenzialmente collegato, ma non risulta confermato come fonte effettiva di credenziali riutilizzate in questa campagna.

Accanto al credential reuse, le fonti documentano brute-force e password-spraying contro dispositivi con interfacce amministrative esposte a Internet. La combinazione di credenziali già note e attacchi sistematici contro endpoint senza multifactor authentication ha creato la superficie d'attacco.

"CISA is aware of global reports that malicious cyber actors have targeted internet-accessible Fortinet devices across government and private sector organizations using compromised credentials. This activity, referred to as FortiBleed, involves the exposure of leaked credentials associated with approximately 74,000 Fortinet devices." — CISA

I numeri: conteggi eterogenei, nessun totale verificato

Le stime di scope divergono significativamente e non sono riconducibili a un conteggio univoco. Qualys ha documentato circa 30.800 record validati in un subset specifico, circa 73.900 URL firewall unici in un dataset esterno, circa 75.000 dispositivi in un'analisi indipendente, e 86.644 record in un ulteriore reporting. CISA ha indicato la cifra di circa 74.000 dispositivi con credenziali esposte.

Qualys ha esplicitamente avvertito: "These figures reflect different objects, snapshots, validation claims, and deduplication methods, so they should not be combined or treated as one verified count of compromised devices." La discrepanza non è contraddittoria: riflette oggetti di conteggio diversi — URL, record, dispositivi validati, stime governative — e metodologie non confrontabili. CISA specifica "exposure of leaked credentials", non "compromised devices", sottolineando la distinzione tra rischio potenziale e accesso non autorizzato verificato.

Il dato di CISA, pur rappresentando un subset con criteri di validazione non dettagliati pubblicamente, costituisce l'unica stima governativa condivisa a livello federale statunitense.

La persistenza che sopravvive al patching

Il nucleo tecnico della campagna risiede nella gestione delle credenziali, non nel codice nuovo. Qualys ha documentato: "A patched device can remain exposed if credentials or configuration material were stolen before remediation, especially where PBKDF2 migration and legacy-hash cleanup are incomplete."

FortiOS 7.4, 7.6 e 8.0 utilizzano PBKDF2 per l'hashing delle password amministrative. Le versioni precedenti impiegavano schemi più deboli. La migrazione non è automatica né retroattiva: se un amministratore ha eseguito l'upgrade senza resettare le credenziali e rimuovere i legacy hash, un attaccante in possesso del materiale storico può ancora ottenere accesso valido. Questa condizione è indipendente dalla presenza di patch per vulnerabilità recenti.

L'impatto operativo supera il singolo dispositivo edge. Le credenziali FortiGate integrate con directory AD, LDAP, RADIUS o API aziendali abilitano movimento laterale nella rete interna. Un attaccante con accesso amministrativo può creare account locali che persistono attraverso ulteriori aggiornamenti, o estrarre configurazioni che includono parametri di autenticazione centralizzata.

Cosa fare adesso

Le azioni documentate dalle fonti primarie convergono su cinque priorità:

  • Verificare lo stato PBKDF2 e rimuovere legacy hash. CISA e Qualys indicano esplicitamente la conferma della migrazione PBKDF2 e l'eliminazione degli hash più deboli come prerequisito, non come opzione.
  • Ruotare tutte le credenziali amministrative e di integrazione. Fortinet richiede il reset di password locali e credenziali integrate con servizi esterni. Il solo patching senza rotazione lascia intatto il vettore d'accesso.
  • Terminare sessioni attive e revocare token persistenti. Fortinet documenta la necessità di interrompere sessioni esistenti per rimuovere accessi mantenuti dall'attaccante.
  • Implementare MFA su tutte le interfacce amministrative esposte. CISA, NCSC e Fortinet convergono: l'autenticazione a singolo fattore rappresenta la condizione che rende praticabile il brute-force e il credential reuse.
  • Valutare factory reset in caso di evidenza di compromissione. NCSC raccomanda il reset completo se c'è indicazione di accesso non autorizzato, poiché il cambio credenziali può essere insufficiente contro persistenza avanzata.

Fortinet aggiunge la riduzione della superficie di attacco: limitare l'esposizione Internet delle interfacce di management. CISA elenca la validazione della configurazione e il controllo dei log come azioni immediate. La concomitanza di queste raccomandazioni — patch, rotazione, PBKDF2, MFA, isolamento — indica che nessuna singola misura è sufficiente.

Il settore: il vero punto debole è l'esposizione delle interfacce di management

FortiBleed non introduce una nuova classe di vulnerabilità. Conferma che la gestione delle credenziali e l'esposizione di interfacce amministrative a Internet restano i vettori più sfruttati, anche in assenza di zero-day. La campagna si inserisce in una sequenza storica documentata da Qualys: CVE-2018-13379 (path traversal SSL-VPN, CVSS 9.1), CVE-2022-40684 (admin auth bypass), e tre vulnerabilità SSL-VPN di heap overflow nel 2022-2024. Questi CVE non sono vettori confermati della campagna giugno 2026, ma costituiscono il contesto di ricorrente targetizzazione di appliance Fortinet edge.

L'angolo della notizia è il costo nascosto della migrazione incompleta. Le organizzazioni che hanno investito nel patching ritenevano di aver chiuso la finestra d'attacco. La scoperta che legacy hash e credenziali non ruotate permettono persistenza anche su sistemi aggiornati impone una revisione del modello di trust: il patching ripristina l'integrità del codice, non necessariamente la confidenzialità delle credenziali compromesse in precedenza.

Il messaggio per il settore è che la sicurezza di appliance network critiche richiede un ciclo di vita che include hardening iniziale, patching continuo, e — decisamente — gestione del ciclo delle credenziali con migrazione crittografica esplicita. La mancata distinzione tra queste fasi è ciò che FortiBleed ha reso pagante.

Domande e risposte

FortiBleed è una vulnerabilità nuova che richiede una patch urgente?

No. Tutte le fonti primarie — Qualys, CISA, Fortinet, NCSC — concordano che non si tratta di una nuova vulnerabilità zero-day. Il meccanismo è abuso di credenziali precedentemente esposte e brute-force. Il patching di CVE specifici è necessario ma non sufficiente: richiede rotazione credenziali e completamento della migrazione PBKDF2.

Perché i numeri di dispositivi interessati variano così tanto tra le fonti?

I conteggi riflettono oggetti diversi: record in dataset, URL unici, dispositivi validati, stime governative. Le metodologie di deduplicazione e validazione differiscono. Qualys ha esplicitamente vietato di combinarli in un totale unico. La cifra di CISA — circa 74.000 dispositivi con credenziali esposte — è l'unica stima governativa ufficiale.

Un dispositivo FortiGate aggiornato all'ultima versione può ancora essere a rischio?

Sì, se la migrazione PBKDF2 non è stata completata e i legacy hash non sono stati rimossi, o se le credenziali compromesse in incidenti precedenti non sono state ruotate. Un attaccante con credenziali valide ottiene accesso amministrativo indipendentemente dalla presenza di patch per vulnerabilità recenti.

Le informazioni sono state verificate sulle fonti citate e aggiornate al momento della pubblicazione.

Fonti


Fonti e riferimenti
  1. blog.qualys.com
  2. cisa.gov
  3. fortinet.com
  4. ncsc.gov.uk
  5. qualys.com