Un firewall che leggeva il proprio traffico
Il dettaglio che distingue FortiBleed da un normale avviso è la provenienza delle credenziali. Uno strumento su misura che i ricercatori chiamano FortigateSniffer abusa del comando diagnostico dei pacchetti integrato in FortiOS, la stessa funzione che un amministratore usa per risolvere i problemi, per intercettare in modo passivo il traffico di autenticazione su circa due dozzine di protocolli. Non serve alcuna nuova vulnerabilità. Il dispositivo venduto per sorvegliare il perimetro è diventato lo strumento che leggeva gli accessi che lo attraversavano.
SOCRadar ha seguito l'operazione fino al territorio del ransomware dopo aver scoperto un unico operatore collegato contemporaneamente ai pannelli di negoziazione di INC Ransom e di Lynx. La CISA ha esortato le organizzazioni a irrobustire i dispositivi Fortinet il 18 giugno, dopo le prime segnalazioni di esposizione delle credenziali, e lo stesso team di sicurezza dei prodotti di Fortinet ha pubblicato un'analisi della compromissione.
I numeri dietro la campagna
Le prime notizie di Recorded Future e Help Net Security stimavano l'esposizione vicino a 74.000 sistemi FortiGate. Un'analisi successiva di SOCRadar ha ampliato il quadro a 430.000 dispositivi presi di mira, circa la metà di tutto l'hardware Fortinet esposto a internet, e 86.644 credenziali funzionanti verificate distribuite in 194 paesi. L'incrocio dei server FortiBleed con una directory aperta separata collegata a INC ha trovato le stesse organizzazioni vittime tracciate in entrambi gli insiemi di dati, la firma di una filiera condivisa.
Almeno 12 distribuzioni di ransomware confermate risalgono già direttamente all'accesso di FortiBleed, con centinaia di endpoint cifrati. INC Ransom è attivo da luglio 2023 e ha rivendicato più di 800 vittime, il che lo rende una delle operazioni ransomware-as-a-service più prolifiche per conteggio confermato. La raccolta di credenziali non è un avvertimento di ciò che potrebbe accadere; è la parte anteriore di attacchi che sono già avvenuti.
Stavolta le patch non sono la soluzione
Poiché il varco è una credenziale valida e non una falla senza patch, il riflesso abituale fallisce. Un FortiGate con il firmware più recente e un account VPN esposto resta una porta aperta, e rimane aperta finché quell'account non viene ruotato. Le azioni necessarie sono la rotazione delle credenziali su ogni account di firewall e VPN, l'autenticazione a più fattori imposta sull'accesso remoto e la cattura dei pacchetti diagnostici disattivata o sorvegliata da vicino dove non serve.
L'ipotesi prudente per qualunque dispositivo dell'insieme esposto è che le sue credenziali siano trapelate e che vada trattato come compromesso finché non si dimostra il contrario. Così il lavoro passa da un ciclo di patch a una bonifica delle identità, più lenta, meno gratificante e l'unica cosa che chiude davvero la porta.
Con NIS2 l'orologio è tuo
Per gli operatori europei il margine normativo è affilato. In base a NIS2, un incidente che raggiunge la tua rete attraverso un dispositivo perimetrale di terze parti è il tuo evento da notificare, con un preavviso dovuto entro 24 ore e una notifica più completa entro 72. Le società finanziarie portano gli obblighi paralleli di DORA. La responsabilità non ricade su Fortinet né sulla banda del ransomware; ricade sull'organizzazione che ha subito la violazione.
Il KPI che conta adesso non è se il firewall è aggiornato ma quanto in fretta ogni credenziale al suo interno può essere ruotata. I team che già presumono che i loro accessi perimetrali siano trapelati, e sanno dimostrare rotazione e MFA su richiesta, sono quelli che non leggeranno il proprio nome nel prossimo post di ransomware.
Da leggere ora: Un token falso apre ogni PC che lo strumento gestisce | Un'IA ha condotto da sola un intero attacco ransomware



