DeafNews
// 1 CRITICAL · 2 CVE · 2 EXPLOIT · 1 ADVISORY NELLE ULTIME 24H
Cybersecurity

FortiBleed: 74mila credenziali Fortinet esposte, CISA ordina azione

Published: Updated: By DeafSuite team 8 min read Cybersecurity
Condividi
WhatsApp Facebook X (Twitter) LinkedIn Reddit Telegram Email
CISA ordina hardening immediato per circa 74mila dispositivi Fortinet dopo il leak FortiBleed. Credenziali valide in circolazione, quasi tutti online.

CISA ha emesso un advisory il 18 giugno 2026 che ordina azioni immediate su circa 74.000 dispositivi Fortinet, tra firewall e gateway VPN, dopo la scoperta di un leak di credenziali denominato FortiBleed. Il ricercatore di sicurezza Volodymyr "Bob" Diachenko ha identificato un server aperto contenente 73.932 credenziali Fortinet in chiaro. La quasi totalità dei dispositivi associati risulta ancora online, secondo la verifica indipendente di Kevin Beaumont. Il rischio operativo è immediato: accesso VPN non autorizzato, movimento laterale, deploy ransomware.

Fortinet respinge la classificazione di nuova vulnerabilità. La portavoce dell'azienda ha dichiarato che i dati derivano da "incidenti precedenti e attacchi brute-force", non da un advisory o un incidente corrente. Per i CISO, la distinzione è semantica: le credenziali funzionano, i dispositivi sono esposti, il weekend è il tempo disponibile.

Punti chiave
  • CISA ha quantificato in circa 74.000 i dispositivi Fortinet con credenziali compromesse, ordinando reset password, MFA phishing-resistant e riduzione superficie d'attacco entro tempi stretti
  • Il ricercatore Diachenko ha scoperto 73.932 credenziali in plaintext su un server esposto; Hudson Rock ha mappato 21.632 domini unici in 194 paesi
  • Un gruppo threat russofono ha condotto 1,16 miliardi di tentativi di credential stuffing contro 320.777 target FortiGate, con verifica automatizzata del funzionamento delle credenziali
  • SOCRadar ha confermato 30.791 dispositivi con credenziali "testate e confermate dagli attaccanti stessi"; il 60% dei dispositivi governativi esposti si concentra in India

Il meccanismo: brute-force a scala industriale e verifica passiva

Il dataset FortiBleed non nasce da un exploit zero-day. Secondo la ricostruzione di Diachenko, un gruppo threat russofono ha eseguito circa 1,16 miliardi di tentativi di autenticazione contro 320.777 target FortiGate. Il sistema operava in modo automatizzato e continuo: credenziali testate, verificate, catalogate.

La persistenza del monitoraggio è il dato tecnico rilevante. Gli operatori non si limitano alla raccolta iniziale. I dispositivi compromessi fungono da sensori passivi: configurazioni esportate in plaintext, password recuperate da backup o da sessioni amministrative, nuove credenziali catturate nel tempo. La complessità delle password è neutralizzata dal recupero in chiaro da configurazioni già acquisite, non necessariamente dalla rottura crittografica.

Questa architettura spiega perché il dataset continui a crescere e perché "quasi tutti" i dispositivi restino online. Non è una breach puntuale. È un'infrastruttura di raccolta che si alimenta dello stesso accesso che ha creato.

"These are not random guesses. These are verified, working usernames and passwords, tested and confirmed by the attackers themselves using automated tools running around the clock" — SOCRadar

La risposta di Fortinet: negazione semantica, rischio concreto

La portavoce di Fortinet ha risposto all'indomani della scoperta con una dichiarazione precisa: i dati sono "probabilmente una ricondivisione di dati da incidenti precedenti, oltre a brute-forcing di credenziali, e non correlata a alcun incidente o advisory corrente". L'azienda esclude quindi l'esistenza di una vulnerabilità software nuova nel proprio prodotto.

L'evidence map non riporta CVE dedicata a FortiBleed né contraddice la ricostruzione di Fortinet. Tuttavia, la posizione del vendor lascia fuori campo il problema operativo. Le credenziali sono valide. I dispositivi sono accessibili. Le sessioni VPN possono essere stabilite ora. Il CISO che attende una patch da installare non ha un'azione da compiere: il difetto non è nel codice, è nella gestione delle credenziali esposte.

La scelta comunicativa di Fortinet rispecchia un pattern ricorrente nel settore: spostare la responsabilità dall'infrastruttura al customer. CISA non condivide questa lettura. L'advisory del 18 giugno non distingue tra vulnerabilità nuova e credenziali vecchie. Ordina hardening immediato.

La mappa del danno: settori critici e geografia del leak

Hudson Rock ha analizzato il dataset e identificato 21.632 domini unici distribuiti in 194 paesi. La geografia del rischio mostra concentrazione in India, Stati Uniti, Taiwan, Messico, Turchia, Thailandia, Colombia, Malaysia, Cile e Emirati Arabi Uniti. SOCRadar aggiunge una dimensione qualitativa: il 60% dei dispositivi governativi esposti si trova in India.

L'analisi di BleepingComputer, basata sui dati di Diachenko, elenca organizzazioni con nome riconoscibile: Samsung, Mercedes-Benz, Foxconn, Chevron, Comcast, AT&T, Toyota, agenzie governative. La lista non implica che tutte siano state violate: indica che credenziali valide per i loro perimetri Fortinet circolano nel dataset. La differenza è sottile ma rilevante. L'attaccante con accesso a queste credenziali ha ridotto drasticamente il costo di un'intrusione.

Il settore sanitario, l'energia e la manifattura compaiono nelle ricostruzioni di BleepingComputer tra i verticali maggiormente rappresentati. CISA conferma il targetting di "organizzazioni governative e del settore privato" senza distinzione dimensionale: il problema non è riservato a grandi enterprise.

Cosa fare adesso

L'advisory CISA del 18 giugno elenca azioni specifiche, non raccomandazioni generiche. La fonte primaria impone quattro ordini operativi con priorità immediata.

Terminare tutte le sessioni VPN e amministrative attive sui dispositivi Fortinet esposti. La persistenza di sessioni valide è il vettore di accesso diretto: la chiusura forzata interrompe l'accesso dell'attaccante che abbia già superato il perimetro.

Reset delle password con rotazione completa per tutti gli account amministrativi e utente associati ai dispositivi interessati. CISA non specifica tempistiche di rotazione automatica: l'azione è manuale e immediata.

Abilitare MFA phishing-resistant su tutti gli accessi Fortinet. L'aggettivo "phishing-resistant" è quello usato da CISA: implica FIDO2, hardware token o equivalente, non OTP basati su SMS o email suscettibili di intercettazione.

Ridurre la superficie d'attacco con restrizioni IP sugli interfacci amministrativi e l'applicazione di PBKDF2 per lo storage delle credenziali. La restrizione di accesso amministrativo a range IP noti elimina il vettore brute-force su Internet.

L'advisory non menziona patch da installare né CVE da monitorare: coerentemente con la ricostruzione di Fortinet, non esiste difetto software da correggere. Il lavoro è interamente su credenziali, configurazione e architettura di accesso.

La lettura: quando il vendor dice "non è un bug" e tu sei comunque bucato

FortiBleed è un caso limite della responsabilità cybersecurity. Il prodotto funziona come specificato. Le credenziali sono state esfiltrate da configurazioni, non da buffer overflow. Il vendor non ha advisory da emettere, patch da distribuire, CVE da assegnare. Eppure 74.000 perimetri sono accessibili con credenziali verificate.

La tensione tra classificazione tecnica e impatto operativo è il cuore del problema. Il ricercatore che trova il server esposto, CISA che ordina l'azione, il CISO che lavora nel weekend: tutti operano su un rischio reale. Il vendor che nega la vulnerabilità opera su una tassonomia interna. Le due sfere non si incontrano.

La questione aperta, non risolta dalle fonti disponibili, è l'origine esatta del leak iniziale. Diachenko segnala che "la fonte dei dati rimane sconosciuta". Il gruppo threat russofono è identificato solo per lingua, non per nome o infrastruttura. Questi limiti non attenuano il rischio documentato: credenziali valide, dispositivi online, azioni ordinate.

Il prossimo aggiornamento atteso è il monitoraggio delle campagne di exploitation. Se le credenziali FortiBleed vengono utilizzate in incidenti ransomware documentati, la distinzione tra "non è un bug" e "è un disastro" si dissolverà completamente.

Le informazioni sono state verificate sulle fonti citate e aggiornate al momento della pubblicazione.

Per approfondire

  • Breach TPWD: 3 milioni di patenti e passaporti esposti, vendor nascosto
  • X.Org Server UAF CVE-2026-34001: escalation locale a root su Linux
  • Apple Beats: vulnerabilità Bluetooth trasforma cuffie in microfoni spia

Fonti

Fonti e riferimenti
  1. unit42.paloaltonetworks.com
  2. thehackernews.com
  3. bleepingcomputer.com
  4. cisa.gov