Un nuovo caso di esposizione di credenziali riporta l’attenzione sulla sicurezza degli accessi remoti. Al centro della vicenda c’è FortiBleed, un dataset contenente credenziali compromesse associate ad apparati Fortinet FortiGate, originariamente individuato dal ricercatore Bob Diachenko su un server pubblicamente accessibile.
Il dataset contiene informazioni relative a interfacce SSL VPN e pannelli di amministrazione di dispositivi distribuiti a livello globale: oltre 73 mila URL unici di firewall e VPN Fortinet, riferiti a più di 21 mila domini in 194 Paesi. Tra i dati presenti figurano username, indirizzi email, password in chiaro e informazioni sulle organizzazioni coinvolte.
Tra i settori interessati figurano telecomunicazioni, servizi IT, finanza, sanità, istruzione, industria e pubblica amministrazione. Per l’Italia, l’elemento più rilevante è l’emersione di evidenze relative a enti della PA: il CERT-AGID ha identificato amministrazioni coinvolte e ha attivato i canali istituzionali di notifica.
Una minaccia legata alle credenziali, non a un nuovo bug
Le informazioni disponibili indicano che FortiBleed non sarebbe legato a una vulnerabilità zero-day di FortiOS, ma all’utilizzo su larga scala di tecniche già note: credential stuffing con credenziali provenienti da precedenti leak, brute force contro interfacce esposte su Internet e attività di cracking offline.
Sono stati osservati circa 1,16 miliardi di tentativi di autenticazione contro dispositivi FortiGate pubblicamente raggiungibili. Una volta ottenuto un accesso valido, un apparato compromesso può diventare un punto di osservazione privilegiato e favorire ulteriori attività verso la rete interna, inclusi movimenti laterali verso sistemi critici come Active Directory.
Impatto per la Pubblica Amministrazione italiana
Il rischio non riguarda solo gli enti già individuati. Qualsiasi amministrazione che utilizzi apparati FortiGate con credenziali esposte, riutilizzate o non adeguatamente protette può essere potenzialmente interessata.
La vicenda evidenzia ancora una volta come VPN e firewall perimetrali rappresentino obiettivi ad alto valore e richiedano controlli continui sugli accessi remoti.
Raccomandazioni
Il CERT-AGID raccomanda a tutte le amministrazioni che utilizzano apparati FortiGate di adottare almeno le seguenti misure:
- Abilitare la MFA su tutti gli accessi remoti, incluse interfacce SSL VPN e interfacce di gestione. Questo riduce il rischio che credenziali già compromesse possano essere riutilizzate con successo.
- Rimuovere, ove possibile, l’accesso diretto da Internet alle interfacce di management. In alternativa, limitarlo tramite ACL e local-in policy, consentendo l’accesso solo da indirizzi IP sorgente autorizzati.
- Forzare la rotazione delle credenziali per gli account amministrativi e per gli utenti VPN, con particolare attenzione agli account privilegiati, condivisi o non più necessari.
- Analizzare i log di autenticazione alla ricerca di accessi anomali per geografia, orario, ASN, indirizzo IP sorgente, user agent o pattern di tentativi ripetuti.
- Verificare la presenza di accessi riusciti sospetti, non limitandosi ai soli tentativi falliti. Un singolo login valido da una sorgente anomala può essere più rilevante di molti errori di autenticazione.
- Controllare eventuali movimenti laterali verso la rete interna, in particolare verso sistemi Active Directory, server critici, sistemi di posta, file server e console di amministrazione.
- Aggiornare FortiOS e verificare la configurazione degli apparati, tenendo presente che in questo caso l’aggiornamento software, da solo, potrebbe non essere sufficiente se le credenziali sono già state compromesse.
FortiBleed dimostra ancora una volta che la protezione degli accessi remoti non può essere considerata una misura secondaria: firewall e VPN sono componenti strategici della sicurezza dell’intera infrastruttura.
