Un attacco ha esposto oltre 15.000 firewall FortiGate, colpendo 333 aziende italiane. La mancata applicazione delle patch continua a creare rischi.
Autore: Redazione SecurityOpenLab
Un recente episodio che chiama in causa le soluzioni con a bordo FortiOS 7.0.0 – 7.0.6 e FortiOS 7.2.0 – 7.2.1 fa comprendere l’importanza di chiudere le vulnerabilità a tempo debito. A distanza di tre anni, infatti, sono riemerse con gravi conseguenze le ricadute della falla CVE-2022-40684 risalente al 2022.
La sintesi dell’accaduto è piuttosto semplice: il gruppo cyber Belsen ha pubblicato online le configurazioni di oltre 15.000 firewall FortiGate compromessi. I dati trafugati comprendono nomi utente, password (alcune in chiaro), credenziali VPN, regole critiche dei firewall, indirizzi IP e certificati digitali. L’analisi dei dati sottratti condotta da Cynet ha identificato 333 aziende italiane tra le vittime della compromissione, il che colloca l’Italia tra i paesi più colpiti dopo Messico (1.603 aziende), Stati Uniti (679) e Spagna (449). Tra i dispositivi più colpiti figurano i firewall FortiGate 40F e 60F, oltre a gateway WLAN.
CVE-2022-40684 era una grave vulnerabilità di bypass dell'autenticazione, a cui era stato assegnato un punteggio CVSS di 9.8 su 10. Sfruttata attivamente in attacchi reali, consentiva ai cyber criminali di ottenere l'accesso amministrativo da remoto ai dispositivi vulnerabili, tramite richieste HTTP o HTTPS appositamente predisposte. La sua scoperta risale al 2022, data in cui Fortinet pubblicò prontamente la patch risolutiva.
Differente è l’interpretazione di Cynet e di altri ricercatori, che mediante una scansione di rete con Shodan hanno rilevato oltre 165.000 firewall FortiGate tuttora esposti pubblicamente. In particolare, gli esperti Cynet evidenziano che il 54% dei firewall colpiti è ancora online e accessibile e che il 32% dei firewall vulnerabili ha la console di gestione accessibile via Internet.
Purtroppo, questa vicenda non costituisce una novità: sono moltissime le falle di cui sono disponibili patch mai installate da parte di una percentuale consistente di utenti attivi. Una ricerca di Trend Micro risalente al 2021 aveva rivelato che il 22% degli exploit venduti sul darkweb aveva più di tre anni. Nello stesso anno RiskSense aveva allertato circa il fatto che nel 2020 gli attacchi ransomware avevano sfruttato 223 vulnerabilità note e l'FBI aveva scavato ancora più indietro denunciando le 10 vulnerabilità più sfruttate nei precedenti 4 anni fra cui bug di Office, Windows, Adobe e Apache. L’automatizzazione degli attacchi consentita dall’AI non può che capitalizzare ancora più di prima lo sfruttamento di queste vulnerabilità.
Come scriviamo da tempo, è fondamentale che le aziende adottino un approccio proattivo al patch management, nell’ambito di una strategia di cybersecurity solida e strutturata mirata alla messa in sicurezza di tutti gli asset aziendali. Concretamente, il da farsi non richiede grandi sforzi di fantasia, basta l’applicazione delle regole di base della cyber igiene: adottare una soluzione di prioritizzazione del rischio basata su AI e machine learning, che analizzi automaticamente l’infrastruttura per rilevare le potenziali falle e gestisca le vulnerabilità con una attività strutturata di patching – anche virtuale nei casi in cui sia impossibile dare corso agli update ordinari. L’automatizzazione è indispensabile perché il monitoraggio dev’essere continuo.
Senza farsi illusioni, gli attacchi si verificheranno comunque, per questo è importante (nel caso dei firewall ma non solo) implementare soluzioni di centralizzazione dei log, e nel caso di anomalie bisognerà avviare immediatamente procedure di Incident Response per verificare la presenza di attività sospette.
Non sono consigli nuovi, si tratta di un approccio alla security che vale da sempre. Ma che oggi è ancora più importante perché l’automatizzazione degli attacchi tramite AI può amplificare esponenzialmente il rischio. E perché i difensori non hanno più scuse: prima il patching richiedeva troppo tempo e riservava troppe incognite per essere seguito a dovere: oggi l’AI permette di automatizzarlo ed esistono soluzioni di virtual patching che tolgono dai guai di update mal riusciti. L’unico cambio da fare, quindi, è quello di approccio mentale al problema.