C'è un genere molto specifico di disastro informatico: quello che non ha bisogno di un genio col passamontagna, di uno zero-day da film o di un'intelligenza artificiale malvagia. Basta una password che nessuno si è mai preso la briga di cambiare. Benvenuti in FortiBleed, la storia di come decine di migliaia di aziende — comprese alcune che dovrebbero saperne più di te — si sono fatte bucare i firewall lasciando la chiave sotto lo zerbino.
Il nome suona apocalittico, ma la dinamica è di una banalità imbarazzante. I ricercatori delle società di sicurezza Hudson Rock e SOCRadar, partendo da una soffiata del ricercatore Volodymyr "Bob" Diachenko nel weekend del 14-15 giugno, hanno scoperto un dataset con le credenziali di amministratore e gli hash di autenticazione SSL VPN di oltre 73.900 firewall e gateway VPN FortiGate, sparsi in 194 Paesi. SecurityWeek e la CISA americana hanno poi alzato la stima a oltre 86.000 dispositivi: in pratica, circa la metà di tutti i FortiGate esposti su Internet nel mondo.
E qui sta il punto che fa più male: non c'è nessuna falla nuova. Nessun bug segreto nei dispositivi Fortinet. Gli attaccanti hanno semplicemente lanciato scanner automatici a caccia di firewall esposti online, e poi hanno provato a entrare con password già trapelate in incidenti precedenti, database pubblici di leak e malware infostealer. Roba vecchia, già nota, già in giro. Password che le vittime, semplicemente, non avevano mai cambiato. Il furto del secolo realizzato con la fantasia di chi prova "1234" sul lucchetto della palestra.
Il meccanismo, raccontato da SOCRadar, è pure elegante nella sua perfidia: una volta dentro un dispositivo, gli hacker lo usano come postazione di ascolto, intercettando il traffico che ci passa e raccogliendo nuove credenziali al volo. Quelle credenziali fresche vengono poi rimesse nello scanner per bucare altri dispositivi. "Il sistema si alimenta da solo", scrivono i ricercatori. Un perpetuum mobile della figuraccia.
Chi c'è nella lista delle vittime? Non esattamente il negozio di alimentari sotto casa. Nel dataset compaiono nomi come Foxconn, Samsung, Siemens, Lenovo, Oracle, Accenture, PwC, AT&T, Mercedes-Benz, Toyota, FedEx, Chevron. E — colpo di scena degno di una sitcom — figura anche Fortinet stessa. Tra le organizzazioni colpite ci sono agenzie governative e infrastrutture critiche: secondo Diachenko, almeno un contractor della difesa turco membro NATO sarebbe stato pienamente compromesso, con tanto di documenti classificati esfiltrati.
E l'Italia? Tranquilli, non siamo stati lasciati fuori dalla festa. L'Agenzia per la Cybersicurezza Nazionale (ACN) ha diramato un avviso dedicato all'incidente, segnalando il rischio concreto per le organizzazioni che tengono apparati Fortinet esposti su Internet senza aggiornarli né blindarli. Tradotto dal burocratese: se hai un FortiGate online con la password di default, questa notizia parla di te.
Fortinet, dal canto suo, ha risposto con il manuale del PR in modalità minimizzazione: l'azienda dice di essere "a conoscenza" della campagna di credential harvesting, ma precisa che si tratterebbe di "una ricondivisione di dati provenienti da incidenti precedenti" e di credenziali ottenute via brute force, "non correlati a nessun incidente o advisory recente". Che è un modo molto elegante per dire: non è colpa del prodotto, è colpa di chi non cambia le password. E, tecnicamente, non hanno tutti i torti.
La morale, perché una c'è sempre, l'ha riassunta bene Dario Fadda su Cyber Security 360: la finestra tra la divulgazione di una vulnerabilità e il suo sfruttamento di massa si è ridotta a niente. Il patch management non è più una cosa che programmi una volta al mese tra una riunione e l'altra — è una risposta che si misura in ore. La CISA, intanto, ha snocciolato il solito rosario salvifico: resettare le credenziali, terminare le sessioni attive, attivare l'MFA resistente al phishing, limitare l'accesso alle interfacce di management. Cose che sappiamo tutti, che nessuno fa, e che puntualmente ci ritroviamo a rileggere il giorno dopo l'ennesimo leak.
Perché alla fine FortiBleed non è la storia di un attacco geniale. È la storia, molto più deprimente, di 86.000 promemoria ignorati. La cybersecurity più avanzata del mondo continua a inciampare sulla cosa più stupida che esista: cambiare la password. Magari fallo adesso, prima di finire anche tu in un dataset con dentro la Mercedes-Benz.
Fonti:
Commenti (0)
Moderazione umana, firma anonima accettata. Per favore, niente insulti né maiuscole compulsive.
Ancora nessun commento.