Red Hot Cyber, il blog italiano sulla sicurezza informatica
Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

Allarme FortiGate: attacco zero-day in corso, migliaia di dispositivi a rischio!

Luca Galuppi : 15 Gennaio 2025 08:11

Una nuova campagna informatica in corso sta mettendo a dura prova i dispositivi FortiGate di Fortinet, in particolare quelli con interfacce di gestione esposte su Internet pubblico. Questo attacco ha scatenato un’ondata di preoccupazioni per la sicurezza, rivelando vulnerabilità potenzialmente devastanti che potrebbero compromettere l’intera infrastruttura aziendale. Se sei uno degli amministratori responsabili della gestione di dispositivi FortiGate, è il momento di agire con urgenza.

Arctic Wolf, una rinomata azienda di cybersecurity, ha rivelato che gli attaccanti stanno sfruttando una vulnerabilità sospetta zero-day, che consente loro di ottenere accesso amministrativo non autorizzato per modificare le configurazioni del firewall, estrarre credenziali e spostarsi lateralmente all’interno di ambienti compromessi. La gravità della situazione non può essere sottovalutata: l’attacco ha coinvolto dispositivi FortiGate che eseguivano firmware dalle versioni 7.0.14 alla 7.0.16, rilasciate tra febbraio e ottobre 2024.

Una campagna opportunistica che non risparmia nessuno

Gli attaccanti non sembrano essersi concentrati su un settore o tipo di organizzazione in particolare. Questo attacco è opportunistico, sfruttando vulnerabilità comuni per ottenere un accesso privilegiato e avanzare nel sistema. La campagna, che si è sviluppata tra novembre e dicembre 2024, ha visto una progressione a fasi, ognuna con obiettivi e tecniche mirate:

  • Fase 1 Vulnerability scanning (16–23 novembre 2024): Gli attaccanti hanno eseguito scansioni di vulnerabilità sfruttando l’interfaccia a riga di comando jsconsole, utilizzando indirizzi IP sospetti come quelli di loopback (ad esempio, 127.0.0.1) o risolutori DNS pubblici (ad esempio, 8.8.8.8).
  • Fase 2 Reconnaissance (22–27 novembre 2024): I malintenzionati hanno effettuato il riconoscimento, cercando di modificare le configurazioni per verificare se fossero riusciti a ottenere i privilegi amministrativi.
  • Fase 3 SSL VPN configuration (4–7 dicembre 2024): In questa fase, gli attaccanti hanno configurato l’accesso SSL VPN, creando nuovi account super amministrativi o prendendo il controllo di quelli esistenti per infiltrarsi ulteriormente nelle reti.
  • Fase 4 Lateral Movement (16–27 dicembre 2024): Con accesso amministrativo, gli attaccanti hanno sfruttato la tecnica DCSync per estrarre le credenziali, approfittando della replica del dominio e accedendo a informazioni sensibili.
The CLI Console feature in the FortiGate web interface

Cosa fare?

CORSO NIS2 : Network and Information system 2
La direttiva NIS2 rappresenta una delle novità più importanti per la sicurezza informatica in Europa, imponendo nuovi obblighi alle aziende e alle infrastrutture critiche per migliorare la resilienza contro le cyber minacce. Con scadenze stringenti e penalità elevate per chi non si adegua, comprendere i requisiti della NIS2 è essenziale per garantire la compliance e proteggere la tua organizzazione.

Accedi All'Anteprima del Corso condotto dall'Avv. Andrea Capelli sulla nostra Academy e segui l'anteprima gratuita.
Per ulteriori informazioni, scrivici ad [email protected] oppure scrivici su Whatsapp al 379 163 8765 

Supporta RHC attraverso:


Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.

Arctic Wolf sottolinea l’importanza di proteggere le interfacce di gestione e limitare l’accesso solo a utenti interni fidati. Ecco alcune azioni critiche da intraprendere senza indugi:

  1. Disabilita l’accesso pubblico alle interfacce di gestione: Assicurati che le interfacce di gestione dei firewall siano inaccessibili da Internet.
  2. Aggiorna regolarmente il firmware: Mantieni i dispositivi aggiornati con l’ultima versione stabile per proteggerti dalle vulnerabilità note.
  3. Monitora attività anomale: Cerca comportamenti sospetti, come accessi amministrativi ripetuti o l’uso di IP di loopback.
  4. Implementa l’autenticazione a più fattori (MFA): Rafforza la sicurezza degli accessi amministrativi per ridurre i rischi.
  5. Effettua attività di Threat Hunting: Indaga su segni di attività malevola, inclusi cambiamenti non autorizzati nelle configurazioni o configurazioni SSL VPN sospette.

Conclusione

Fortinet è consapevole della campagna e sta attivamente indagando sull’incidente. Il 12 dicembre 2024, Arctic Wolf ha segnalato le attività osservate a Fortinet, e il loro team PSIRT ha confermato di essere a conoscenza della situazione il 17 dicembre. Tuttavia, l’attività prosegue e l’impegno di Fortinet nella risoluzione è ancora in corso.

Questa campagna è un chiaro esempio di come attacchi mirati possano evolversi rapidamente e compromettere gravemente la sicurezza delle infrastrutture IT. Ora più che mai, è fondamentale essere preparati e implementare le misure di difesa adeguate per proteggere i dati sensibili e garantire la resilienza della rete aziendale.

Luca Galuppi
Appassionato di tecnologia da sempre. Lavoro nel campo dell’informatica da oltre 15 anni. Ho particolare esperienza in ambito Firewall e Networking e mi occupo quotidianamente di Network Design e Architetture IT. Attualmente ricopro il ruolo di Senior IT Engineer e PM per un’azienda di Consulenza e Servizi IT.

Lista degli articoli
Visita il sito web dell'autore

Articoli in evidenza

Sarcoma Ransomware: l’anatomia di una minaccia silenziosa ma spietata

Nel panorama sempre più affollato e inquietante del cybercrimine internazionale, una nuova figura ha cominciato ad attirare l’attenzione degli analisti di sicurezza di tutto il mondo: Sarc...

E’ Cyber-caos negli USA! I tagli ai fondi mettono in ginocchio la Sicurezza Nazionale

Il sistema di sicurezza informatica degli Stati Uniti si trova ora ad affrontare una doppia minaccia: la crescente attività dei criminali informatici e i massicci tagli al personale federale. Mic...

Alan Turing salvato dalla spazzatura! Riemergono i suoi manoscritti storici che vanno all’asta

Gli inestimabili documenti scientifici del leggendario crittografo Alan Turing sono sfuggiti per un pelo dalla distruzione e sono destinati a essere messi all’asta nel tentativo di ricavare dec...

Diventa Partner della RHC Academy! Scopri l’Affiliate, Creator e il Custom Training Program

Intraprendere un percorso di apprendimento nelle nuove tecnologie e sulla sicurezza informatica oggi può fare la differenza, soprattutto in ambiti innovativi e altamente specialistici. Per questo...

Google Meet ora traduce in tempo reale! il tuo inglese “maccheronico” è ufficialmente disoccupato

Google ci porta nel futuro con le traduzioni simultanee in Google Meet! In occasione del suo evento annuale Google I/O 2025,  Google ha presentato uno dei suoi aggiornamenti più entusia...

Categorie
Segui i corsi di ethical hacking di CyberSecurityUP
Banner
Redhotcyber è un progetto di open-news nato nel 2019 e successivamente ampliato in una rete di persone che collaborano alla divulgazione di informazioni e temi incentrati la tecnologia, l'Information Technology e la sicurezza informatica, con lo scopo di accrescere i concetti di consapevolezza del rischio ad un numero sempre più crescente di persone.

PRINCIPALI CATEGORIE
Attacchi Informatici Italiani
Dark Web & Cybercrime
0day, bug e Vulnerabilità
Hacking
Cybersecurity Italia
Cyberpolitica & Intelligence

RISORSE
Academy
Rubriche
Il manifesto di Red Hot Cyber
Feed RSS
Contatti

Copyright @ REDHOTCYBER Srl
PIVA 17898011006