FortiGate e FortiCloud SSO: quando le patch non chiudono davvero la porta

Nel mondo della sicurezza circola da anni una convinzione tanto diffusa quanto pericolosa: “se è patchato, è sicuro”.

Il caso dell’accesso amministrativo tramite FortiCloud SSO ai dispositivi FortiGate dimostra, ancora una volta, quanto questa affermazione sia non solo incompleta, ma in alcuni contesti profondamente fuorviante.

Da dicembre 2025 a oggi stiamo infatti osservando compromissioni reali di firewall FortiGate perfettamente aggiornati, caratterizzate da modifiche malevole alla configurazione, creazione di account amministrativi persistentied esfiltrazione dei file di configurazione. Il tutto senza ricorrere a nuovi zero-day o a tecniche di attacco particolarmente rumorose.

Il vettore non è un’incognita. È noto, documentato e — soprattutto — ancora operativo: FortiCloud SSO.

Dicembre 2025 – Le CVE “chiuse” (almeno sulla carta)

All’inizio di dicembre 2025 vengono rese pubbliche due vulnerabilità critiche:

• CVE-2025-59718
• CVE-2025-59719

Entrambe consentono un authentication bypass nel meccanismo FortiCloud SSO, permettendo a un attore remoto non autenticato di ottenere accesso amministrativo su dispositivi FortiOS quando l’SSO cloud è abilitato.

Fortinet rilascia le patch ufficiali il 9 dicembre 2025, assegnando alle vulnerabilità un CVSS 9.8. Il messaggio è chiaro: aggiornare immediatamente. Ma, come spesso accade, la realtà operativa segue un’altra traiettoria.

Metà dicembre 2025 – I primi segnali di sfruttamento attivo

Secondo i ricercatori di Arctic Wolf, attività malevole di login SSO iniziano a comparire quasi subito dopo la disclosure pubblica, in alcuni casi prima che molte organizzazioni riescano a patchare.

È un passaggio cruciale, perché segna uno spartiacque: il cloud management diventa un vettore di accesso privilegiato, indipendente dall’esposizione classica delle interfacce di management locali.

Gennaio 2026 – L’attacco cambia marcia (e diventa industriale)

Dal 15 gennaio 2026, sempre secondo Arctic Wolf, il fenomeno evolve in modo netto: non più eventi isolati, ma una campagna strutturata e automatizzata.

Il pattern osservato è il seguente:

1. Accesso amministrativo tramite FortiCloud SSO
2. Creazione immediata di nuovi account admin con nomi generici (secadmin, backup, audit, remoteadmin)
3. Modifica delle policy firewall
4. Abilitazione di accessi VPN
5. Esfiltrazione completa delle configurazioni

Il tutto avviene in pochi secondi, con una sequenza che suggerisce chiaramente l’uso di script per automatizzare l’attacco.

Firewall patchati, ma ancora compromessi

Arctic Wolf lo chiarisce senza giri di parole:

It is not known at this time whether the latest threat activity observed is fully covered by the patch that initially addressed CVE-2025-59718 and CVE-2025-59719.

Questo spiega perché molte organizzazioni colpite dichiarino di avere:

• firmware aggiornato
• nessun exploit zero-day rilevato
• nessun brute force evidente nei log

Eppure il firewall viene modificato “dall’interno”, con privilegi amministrativi.

FortiCloud SSO: da funzionalità utile a superficie d’attacco

FortiCloud SSO nasce per semplificare le attività di gestione e supporto ed è, nella percezione di molti amministratori, uno strumento affidabile e sicuro per definizione, perché fornito direttamente dal vendor e integrato nativamente nel prodotto.

Proprio per questo, quando resta attivo senza un hardening adeguato, tende a non essere trattato come un vero canale di accesso amministrativo critico.

Nei fatti, FortiCloud SSO espone un accesso cloud-based con privilegi elevati, spesso non limitato per indirizzo IP, raramente sottoposto a controlli stringenti e, soprattutto, poco monitorato rispetto alle classiche interfacce di management locali. Non perché sia considerato “debole”, ma perché è percepito come intrinsecamente fidato.

Il risultato è che l’attaccante non è costretto a forzare l’accesso: lo utilizza.

Ed è proprio questa legittimità apparente, unita alla fiducia implicita nel canale cloud, a rendere il vettore così efficace e difficile da individuare in fase di detection.

I numeri: esposizione reale, non teorica

I dati di Shadowserver Foundation aiutano a inquadrare la dimensione del problema:

• oltre 25.000 dispositivi FortiGate con FortiCloud SSO esposto a livello globale
• Europa fortemente coinvolta
• Italia: 331 dispositivi vulnerabili

Non parliamo di ambienti di test o lab dimenticati. Parliamo di firewall perimetrali in produzione, spesso in contesti enterprise, MSP e Pubblica Amministrazione.

Indicatori di compromissione (IoC) e workaround operativo

Per quanto riguarda gli Indicatori di Compromissione (IoC) associati a questa campagna — inclusi pattern di login SSO malevoli, creazione di account amministrativi persistenti, sequenze di modifica della configurazione ed eventi di esfiltrazione — si rimanda direttamente all’analisi tecnica pubblicata da Arctic Wolf, che fornisce un elenco dettagliato e aggiornato basato su osservazioni reali sul campo.

Considerata l’evoluzione rapida dell’attività e la natura automatizzata degli attacchi, fare riferimento alla fonte primaria consente di evitare duplicazioni e mantenere allineata la detection agli indicatori più recenti.

Dal punto di vista delle mitigazioni immediate, Fortinet ha indicato un workaround temporaneo in relazione alle vulnerabilità CVE-2025-59718 e CVE-2025-59719, rilevante anche alla luce dell’attività attualmente osservata, che coinvolge l’accesso amministrativo tramite FortiCloud SSO.

Se FortiCloud SSO è abilitato, può essere opportuno disattivarlo temporaneamente fino a quando non saranno disponibili indicazioni di remediation definitive.

Disabilitazione FortiCloud SSO da CLI

config system global
    set admin-forticloud-sso-login disable
end

Poiché il meccanismo di accesso iniziale non è ancora completamente chiarito, non è possibile affermare con certezza che questo workaround sia totalmente efficace contro tutte le varianti della campagna in corso. Tuttavia, la disabilitazione dell’SSO cloud riduce in modo significativo la superficie d’attacco e interrompe uno dei vettori principali osservati finora.

In attesa di ulteriori chiarimenti da parte del vendor, la riduzione dell’esposizione rimane la misura più razionale, da affiancare ad attività di audit, monitoraggio dei log e revisione degli accessi amministrativi.

Perché le patch, da sole, non bastano più

Questo caso evidenzia un problema più ampio e strutturale: la superficie d’attacco si è spostata verso il cloud management, gli accessi “legittimi” sono diventati il nuovo vettore e l’attenzione ossessiva sulle CVE oscura il rischio configurativo

Il caso FortiGate / FortiCloud SSO non è un’anomalia. È un segnale chiaro di come il cloud management stia diventando il nuovo perimetro da difendere. Gli attacchi non passano più solo dagli exploit. Passano dagli accessi dimenticati, dai servizi lasciati attivi, dalla fiducia cieca nel patching. E come spesso accade, i numeri di Shadowserver arrivano molto prima degli incident report.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Luca Stivali

Cyber Security Enthusiast e imprenditore nel settore IT da 25 anni, esperto nella progettazione di reti e gestione di sistemi IT complessi. Passione per un approccio proattivo alla sicurezza informatica: capire come e da cosa proteggersi è fondamentale.

Aree di competenza: Cyber Threat Intelligence, Architectural Design, Divulgazione