Un nuovo e allarmante sviluppo sta scuotendo il panorama della sicurezza informatica: un attore malevolo ha pubblicizzato sul dark webun exploit altamente sofisticato volto a compromettere dispositivi FortiGate.
Si tratta di un nuovo exploit venduto al prezzo di 12.000 dollari per firewall FortiGate che è apparso in vendita sul noto forum underground Exploit. Il post, pubblicato da un utente con lo pseudonimo Anon-WMG, presenta uno strumento capace di compromettere in modo massivo dispositivi Fortinet sfruttando le API esposte.
Advertising
Caratteristiche tecniche dell’exploit
Denominato “FortiGate API Dump Exploit (~7.2 e versioni inferiori)”, il tool è in grado di interagire con oltre 170 endpoint delle API FortiGate, con compatibilità dichiarata per le versioni 6.x e 5.x, e testato anche su 7.2.6 e precedenti. Le funzionalità includono:
Dump automatico da più di 170 endpoint API Fortinet
Estrazione di informazioni sensibili: configurazioni firewall, utenti VPN locali, portali SSL, backup, chiavi SNMP, parametri DNS, HA e NTP
Supporto al multithreading (oltre 20 thread) per scansioni rapide e massicce
Output in formato JSON e file di configurazione strutturati
Headers stealth e modulo di reporting dedicato (“Report Runner”)
Lo strumento prende di mira:
Firewall FortiGate con API esposte (porte predefinite: 443 e 10443)
L’autore sostiene che l’exploit sia in grado di compromettere:
Credenziali di rete interne e amministrative (inclusi hash e password cifrate)
Token attivi SAML/RADIUS/LDAP
Token VPN e ID di sessioni IPSec
Backup completi di configurazione dei dispositivi
Impatto e diffusione e prezzo di vendita
Le implicazioni sono gravi e includono:
Accesso alla rete interna e lateral movement
Furto di configurazioni, backup e credenziali
Compromissione di comunicazioni VPN in corso
Possibilità di escalation attraverso token utente legittimi
Il tool risulta testato su numerose versioni di FortiOS: v6.0.9, 6.2.5, 7.0.4, 7.2.1, 7.2.6, 6.2.x e altre.
Prezzo richiesto: 12.000 dollari
Pagamento in criptovaluta
Trattativa tramite escrow per garantire (almeno formalmente) la transazione
Forniti alcuni sample tramite link temporaneo su “send.exploit.in”
L’autore avverte di contattarlo solo in caso di reale intenzione d’acquisto
Contromisure e raccomandazioni
Le organizzazioni che utilizzano FortiGate devono agire immediatamente, soprattutto se:
Le interfacce API sono esposte direttamente su Internet
I dispositivi eseguono versioni obsolete del firmware
I portali VPN/SSL non sono configurati correttamente
Raccomandazioni operative:
Eseguire un audit immediato delle interfacce esposte
Aggiornare tutti i dispositivi alla versione FortiOS più recente e supportata
Limitare l’accesso alle API solo a indirizzi IP interni o autorizzati
Abilitare i log API per individuare attività sospette
Revocare e rigenerare i token VPN attivi, verificando l’integrità delle configurazioni
Conclusioni
La disponibilità di un exploit automatizzato come questo sul mercato underground evidenzia una volta di più quanto sia critico esporre anche solo parzialmente interfacce di gestione non adeguatamente protette. In questo caso, l’accesso non autenticato alle API FortiGate può portare al completo compromesso di una rete.
Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.
La Redazione di Red Hot Cyber fornisce aggiornamenti quotidiani su bug, data breach e minacce globali. Ogni contenuto è validato dalla nostra community di esperti come Pietro Melillo, Massimiliano Brolli, Sandro Sana, Olivia Terragni e Stefano Gazzella.
Grazie alla sinergia con i nostri Partner leader nel settore (tra cui Accenture, CrowdStrike, Trend Micro e Fortinet), trasformiamo la complessità tecnica in consapevolezza collettiva, garantendo un'informazione accurata basata sull'analisi di fonti primarie e su una rigorosa peer-review tecnica.
