Nuovo allarme Fortinet: gli hacker possono eseguire RCE senza autenticazione

Fortinet torna sotto i riflettori con due vulnerabilità che, consentono l’esecuzione remota di codice su sistemi non aggiornati, senza bisogno di alcuna credenziale, basta saper costruire la richiesta giusta.

Non è la prima volta, e probabilmente non sarà l’ultima. Ma questo non significa che si possa abbassare la guardia.

CVE-2026-44277: FortiAuthenticator

La prima delle due falle riguardano FortiAuthenticator, la piattaforma IAM utilizzata da molte aziende per gestire l’autenticazione, MFA e accessi centralizzati.

Il difetto è classificato come Improper Access Control, CWE-284. In sostanza: un attaccante remoto, non autenticato, può inviare richieste opportunamente costruite e arrivare ad eseguire codice arbitrario sul sistema. Non è richiesto nessun account, nessuna sessione, nessun token.

Fortinet ha già rilasciato le versioni corrette:

• FortiAuthenticator 6.5.7
• FortiAuthenticator 6.6.9
• FortiAuthenticator 8.0.3

Una nota a margine importante: la versione cloud del servizio, FortiAuthenticator Cloud, non risulta impattata. Chi è su cloud hosted da Fortinet non deve fare nulla.

CVE-2026-26083: FortiSandbox

La seconda vulnerabilità colpisce FortiSandbox. Il sistema pensato per analizzare malware, riconoscere minacce avanzate, bloccare gli zero-day prima che facciano danni. Ecco, proprio quello.

Il difetto è una Missing Authorization (CWE-862) nella Web UI di FortiSandbox, incluse le versioni Cloud e PaaS. Anche qui: un attaccante non autenticato, tramite semplici richieste HTTP, può ottenere Remote Code Execution sul sistema.

E’ il contesto quello che conta

Fortinet ha precisato che, al momento, non ci sono evidenze di sfruttamento attivo per nessuna delle due CVE. Ma chi segue da un po’ questo settore sa come spesso va a finire. A febbraio è stata patchata la CVE-2026-21643 su FortiClient EMS. Un mese dopo, Defused ha segnalato come veniva attivamente sfruttata. Un mese. Trenta giorni, se va bene.

Ancora più di recente, il CISA ha ordinato alle agenzie federali statunitensi di mettere in sicurezza le istanze FortiClient EMS colpite dalla CVE-2026-35616, authentication bypass, anche questa già sfruttata attivamente.

Negli ultimi anni, il CISA ha inserito 24 vulnerabilità Fortinet nel catalogo KEV. Di queste, 13 sono state usate in campagne ransomware.

Quello che succede davvero, nei reparti IT

Chi fa questo lavoro lo sa bene, gli aggiornamenti su prodotti di sicurezza vengono rimandati per mille motivi apparentemente ragionevoli. “Adesso non possiamo fermare il servizio.” “Lo facciamo durante la manutenzione di venerdì.” “Funziona tutto, aspettiamo di testare prima in staging.”

E nel frattempo, qualcuno da qualche parte nel mondo sta già scansionando le versioni esposte ed è pronto a sferrare attacchi. La finestra tra la pubblicazione di una CVE critica e i primi tentativi di exploit si è ridotta in modo drastico negli ultimi anni.

Si parla di ore e tutto dipende da quanto il target sia appetibile e da quanto è diffuso il prodotto colpito.

Cosa fare adesso

Niente di complicato, è la solita storia: Patchare!

• Verificare le versioni installate di FortiAuthenticator e confrontarle con le release corrette (6.5.7 / 6.6.9 / 8.0.3)
• Pianificare l’aggiornamento di FortiSandbox non appena disponibili le versioni patchate per la propria release
• Nel frattempo, valutare di limitare l’accesso alla Web UI di FortiSandbox solo agli IP autorizzati
• Controllare i log degli ultimi giorni per richieste anomale o non autenticate alle interfacce interessate

Luca Galuppi

Appassionato di tecnologia da sempre. Lavoro nel campo dell’informatica da oltre 15 anni. Ho particolare esperienza in ambito Firewall e Networking e mi occupo quotidianamente di Network Design e Architetture IT. Attualmente ricopro il ruolo di Senior IT Engineer e PM per un’azienda di Consulenza e Servizi IT.

Aree di competenza: Firewall, Networking, Network Design, Architetture IT, Servizi IT

Visita il sito web dell'autore