Red Hot Cyber, il blog italiano sulla sicurezza informatica
Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

Fortinet VPN: 1000 realtà italiane ancora a rischio?

Michele Pinassi : 13 Settembre 2021 07:28

Autore: Michele Pinassi

Data Pubblicazione: 12/09/2021

Le VPN di Fortinet non patchate mettono a serio rischio oltre 900 realtà italiane, dopo la diffusione di oltre 500.000 credenziali da parte del gruppo ransomware Groove

La notizia che un attore ha pubblicato un lungo elenco di oltre 500.000 account prelevati da 12.856 VPN Fortinet compromesse su RAMP, un forum di hacking russo sul darkweb, ha fatto tornare prepotentemente alla ribalta lo spettro di quando, un anno fa, l’enorme impatto dei 4 CVEs relativi alle VPN Fortinet fece passare notti insonni ad amministratori di sistema di mezzo mondo.

Iscriviti GRATIS ai WorkShop Hands-On della RHC Conference 2025 (Giovedì 8 maggio 2025)

Il giorno giovedì 8 maggio 2025 presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terranno i workshop "hands-on", creati per far avvicinare i ragazzi (o persone di qualsiasi età) alla sicurezza informatica e alla tecnologia. Questo anno i workshop saranno:

  • Creare Un Sistema Ai Di Visual Object Tracking (Hands on)
  • Social Engineering 2.0: Alla Scoperta Delle Minacce DeepFake
  • Doxing Con Langflow: Stiamo Costruendo La Fine Della Privacy?
  • Come Hackerare Un Sito WordPress (Hands on)
  • Il Cyberbullismo Tra Virtuale E Reale
  • Come Entrare Nel Dark Web In Sicurezza (Hands on)
    •
    Potete iscrivervi gratuitamente all'evento, che è stato creato per poter ispirare i ragazzi verso la sicurezza informatica e la tecnologia.
    Per ulteriori informazioni, scrivi a [email protected] oppure su Whatsapp al 379 163 8765


    Supporta RHC attraverso:


    Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.

    • CVE-2018-13379: Pre-auth arbitrary file reading
    • CVE-2018-13380: Pre-auth XSS
    • CVE-2018-13381: Pre-auth heap overflow
    • CVE-2018-13382: The magic backdoor

    A quanto risulterebbe dalle notizie diffuse dalla stampa di settore, l’analisi della diffusione geografica degli IP nella lista rilasciata dal gruppo cybercriminale Groove, avrebbe evidenziato 12.856 dispositivi compromessi in tutto il mondo:

    “Groove released leaks of Fortinet VPN SSL credentials via their leak website. The list contains 799 directories and 86,941 purportedly compromised VPN connections. The reason behind the leak is unclear.”

    Groove VS Babuk; Groove Ransom Manifesto & RAMP Underground Platform Secret Inner Workings

    L’8 per cento di questi IP sembra appartenere a VPN italiane compromesse. Un ben poco lusinghiero terzo posto dopo l’India e Taiwan.


    Hackers leak passwords for 500,000 Fortinet VPN accounts, BleepingComputer

    L’analisi dell’archivio diffuso attraverso il loro blog, accessibile solo via TOR e organizzato secondo cartelle per paese, conferma la presenza delle credenziali di accesso per 911 dispositivi italiani

    Una ulteriore analisi dell’elenco attraverso strumenti di IP geolocation, senza però entrare nella verifica puntuale delle criticità (la speranza è che i dispositivi individuati siano stati, nel mentre, fixati), evidenzia come la maggioranza degli stessi sia nelle regioni del nord (Lombardia e Piemonte in primis). Pochi dispositivi nel centro Italia e ancora meno nel sud, a conferma di come il digital divide italiano incida anche sul tema delle vulnerabilità.

    Preoccupante la presenza di svariate potenziali porte di accesso a reti aziendali, che rappresentano forse l’obiettivo privilegiato dei cybercriminali: queste vulnerabilità permettono infatti di “inoculare” software malevoli come i ransomware, prendendo letteralmente “in ostaggio” i dati e i sistemi aziendali.

    Già, perché avere un dispositivo compromesso o vulnerabile all’interno della propria rete aziendale, soprattutto se si tratta di un apparato perimetrale come un router o un firewall, non è poi così diverso dal lasciare aperto il portone di casa o il cancello dell’azienda. Con l’aggravante che, attraverso Internet, chiunque può accederci senza neanche uscire dalla propria stanza.

    Se nel caso specifico, considerando il grande clamore che le vulnerabilità hanno avuto nei mesi passati, ci sono ben poche scusanti nel non aver provveduto all’installazione delle patch rilasciate prontamente da Fortinet. Tuttavia è ancora molto diffusa l’abitudine di non installare gli aggiornamenti negli apparati, con la sgradevole conseguenza di subire costosi (sia economicamente che sotto gli aspetti reputazionali) attacchi cyber.

    A tutto ciò si aggiunge la grande disponibilità di strumenti per effettuare questi attacchi (per le vulnerabilità di Fortinet di cui abbiamo parlato esistono ormai decine di tools gratuiti liberamente scaricabili, come fortiscan): credo sia ormai improrogabile la necessità che aziende e istituzioni provvedano alla costituzione di team e strutture specifiche nel gestire gli aspetti di sicurezza informatica, per ridurre la superficie di attacco e mitigare gli incidenti che, purtroppo, possono verificarsi.

    Michele Pinassi
    Nato e cresciuto a Siena, è Responsabile della Cybersecurity dell’Università di Siena. Lavora nel campo ICT da oltre 20 anni, usando esclusivamente software libero. Da sempre attento alle tematiche sulla privacy e sui diritti civili digitali, attraverso il suo blog nato nel lontano 2000, è ancora attivamente impegnato nel sensibilizzare i cittadini su queste tematiche.

    Lista degli articoli

    Articoli in evidenza

    Attenti italiani! Una Finta Multa da pagare tramite PagoPA vuole svuotarti il conto

    Una nuova campagna di phishing sta circolando in queste ore con un obiettivo ben preciso: spaventare le vittime con la minaccia di una multa stradale imminente e gonfiata, apparentemente proveniente d...

    Italia sarai pronta al Blackout Digitale? Dopo La Spagna l’attacco informatico alla NS Power

    Negli ultimi giorni, NS Power, una delle principali aziende elettriche canadesi, ha confermato di essere stata vittima di un attacco informatico e ha pubblicato degli update all’interno della H...

    Sicurezza è Lavoro: dal cantiere al cloud, dobbiamo proteggere chi costruisce l’Italia!

    1° Maggio, un giorno per onorare chi lavora, chi lotta per farlo in modo dignitoso e chi, troppo spesso, perde la vita mentre svolge la propria mansione. Nel 2025, l’Italia continua a pian...

    Buon World Password Day! Tra MIT, Hacker, Infostealer e MFA. Perchè sono così vulnerabili

    Domani celebreremo uno degli elementi più iconici – e al tempo stesso vulnerabili – della nostra vita digitale: la password. Da semplice chiave d’accesso inventata negli anni...

    Benvenuti su Mist Market: dove con un click compri droga, identità e banconote false

    Ci sono luoghi nel web dove la normalità cede il passo all’illecito, dove l’apparenza di un marketplace moderno e funzionale si trasforma in una vetrina globale per ogni tipo di rea...

    Categorie
    Segui i corsi di ethical hacking di CyberSecurityUP
    Banner
    Redhotcyber è un progetto di open-news nato nel 2019 e successivamente ampliato in una rete di persone che collaborano alla divulgazione di informazioni e temi incentrati la tecnologia, l'Information Technology e la sicurezza informatica, con lo scopo di accrescere i concetti di consapevolezza del rischio ad un numero sempre più crescente di persone.

    PRINCIPALI CATEGORIE
    Attacchi Informatici Italiani
    Dark Web & Cybercrime
    0day, bug e Vulnerabilità
    Hacking
    Cybersecurity Italia
    Cyberpolitica & Intelligence

    RISORSE
    Academy
    Rubriche
    Il manifesto di Red Hot Cyber
    Feed RSS
    Contatti

    Copyright @ REDHOTCYBER Srl
    PIVA 17898011006