Scopri anche

• Fine supporto Xiaomi: dispositivi senza aggiornamenti di sicurezza dal 2025
• Vulnerabilità Zero-Day: La Minaccia Invisibile nei Sistemi Informatici
• Aggiornamento di febbraio 2026 per Windows 11: nuove funzionalità e miglioramenti
• Patch Tuesday gennaio 2026: Microsoft corregge 114 vulnerabilità tra cui zero-day già sfruttata
• Vulnerabilità WinRAR CVE-2025-8088: Rischio Esecuzione Codice e Necessità di Aggiornamento Manuale
• Sicurezza informatica nel settore sanitario: rischi e protezione dei dispositivi IoT e IoMT
• Patch Tuesday gennaio 2026: Microsoft corregge 112 vulnerabilità, inclusa una zero-day già sfruttata
• Analisi della vulnerabilità CVE-2026-21509 in Microsoft Office e misure di mitigazione
• Attacchi Spyware Mercenari su iPhone: Apple Conferma Minacce Globali
• Aggiornamenti di sicurezza Apple correggono vulnerabilità zero-day critiche in Image I/O
• Ni8mare: Vulnerabilità Critica CVE-2026-21858 Minaccia le Istanze n8n
• Apple conferma attacchi spyware mirati su iPhone: milioni di dispositivi a rischio
• iOS 26.2: sicurezza rafforzata contro le vulnerabilità WebKit e nuove funzionalità
• Apple rilascia aggiornamenti di sicurezza settembre 2025: patch per Safari e sistemi operativi
• Vulnerabilità Bluetooth: attacchi a cuffie wireless e misure di protezione
• Vulnerabilità critiche in Veeam Backup: aggiornamenti di sicurezza per prevenire RCE e attacchi ransomware
• WhisperPair: la vulnerabilità critica negli auricolari Bluetooth che permette tracciamento e intercettazione
• iOS 26.2: oltre 20 vulnerabilità corrette, due già sfruttate in attacchi mirati
• Vulnerabilità critica VMware vCenter sfruttata attivamente: patch urgente
• Apple iOS 26.2: Patch Urgente per Due Zero-Day in WebKit

Vulnerabilità critiche nei firewall Fortinet e Palo Alto: oltre 10.000 dispositivi esposti

Vulnerabilità critiche nei firewall Fortinet e Palo Alto: oltre 10.000 dispositivi esposti

Panorama delle minacce per i firewall aziendali

⬆ Torna su I firewall di Palo Alto Networks e Fortinet sono attualmente al centro di ondate di attacchi informatici che sfruttano vulnerabilità critiche non correttamente patchate. La situazione riguarda migliaia di dispositivi esposti pubblicamente online, con rischi concreti di compromissione completa dei sistemi. Le minacce interessano sia vulnerabilità recenti sia falle scoperte anni fa ma ancora attivamente sfruttate. I dati indicano che oltre 10.000 firewall Fortinet risultano esposti a bypass dell'autenticazione a due fattori, mentre centinaia di migliaia di dispositivi rimangono vulnerabili a exploit di remote code execution.

Le vulnerabilità critiche di Palo Alto Networks

⬆ Torna su Palo Alto Networks ha recentemente affrontato una serie di vulnerabilità nel suo software PAN-OS. La CVE-2024-9474, con punteggio CVSS di 6.9, consentiva a un amministratore con accesso all'interfaccia web di gestione di eseguire azioni con privilegi di root sul firewall. L'analisi della patch correttiva ha rivelato un ulteriore bypass dell'autenticazione, portando allo sviluppo della CVE-2025-0108, considerata critica. Questo problema di controllo degli accessi permetteva a un attaccante non autenticato di bypassare l'autenticazione nell'interfaccia web di gestione e di eseguire specifici script PHP. Palo Alto ha corretto anche la CVE-2025-0111, che consentiva ad attaccanti autenticati di accedere ai file visibili dall'utente "nobody" sui sistemi PAN-OS. Sono stati osservati tentativi di exploit che concatenano le vulnerabilità CVE-2024-9474 e CVE-2025-0111 su interfacce di gestione web non aggiornate.

La risposta di Palo Alto e le raccomandazioni

⬆ Torna su Palo Alto Networks ha confermato che i suoi servizi Cloud NGFW e Prisma Access non sono vulnerabili, ma ha esortato gli utenti ad aggiornare immediatamente i sistemi PAN-OS alle ultime versioni disponibili (10.1, 10.2, 11.0, 11.1 e 11.2). Il numero di attacchi che sfruttano queste vulnerabilità è in aumento. L'azienda ha avvertito che i sistemi non patchati rimangono vulnerabili anche se l'accesso è ristretto a indirizzi IP interni. Alcuni clienti hanno già ricevuto una patch per risolvere un problema che causava il riavvio dei firewall in determinate condizioni di traffico di rete, mentre un ulteriore fix è attualmente in fase di validazione.

La situazione critica dei firewall Fortinet

⬆ Torna su Per quanto riguarda Fortinet, oltre 300 aziende italiane risultano vulnerabili a causa di un'esfiltrazione di dati da parte del gruppo hacker Belsen. Il gruppo ha dichiarato di aver sfruttato la vulnerabilità CVE-2022-40684 per violare i firewall dell'azienda americana. La CVE-2022-40684 è un bypass dell'autenticazione con punteggio CVSS di 9.8 che consentiva agli attaccanti remoti di ottenere accesso amministrativo ai dispositivi Fortinet tramite richieste HTTP o HTTPS modificate. Le versioni vulnerabili includevano FortiOS (7.0.0–7.0.6 e 7.2.0–7.2.1), FortiProxy (7.0.0–7.0.6 e 7.2.0) e FortiSwitchManager (7.0.0 e 7.2.0). Dall'analisi di Cynet emerge che il 54% dei firewall compromessi è ancora attivo e accessibile online. I modelli più colpiti risultano essere i FortiGate 40F e 60F, particolarmente diffusi tra le aziende, insieme ai gateway WLAN utilizzati per la gestione delle reti Wi-Fi aziendali.

Il problema dei dispositivi non patchati

⬆ Torna su Nonostante Fortinet abbia rilasciato rapidamente delle patch, molti sistemi non aggiornati sono stati compromessi. Si parla di oltre 165.000 firewall FortiGate esposti pubblicamente. Recentemente, il gruppo Belsen ha diffuso sul Dark Web le configurazioni compromesse dei firewall Fortinet, rivelando che numerose organizzazioni erano state attaccate prima di applicare le patch. I dati trapelati includono regole di firewall dettagliate che potrebbero consentire agli attaccanti di aggirare le difese di rete, credenziali VPN in chiaro, esposizione geografica con i dati suddivisi per paese e indirizzi IP associati alle configurazioni.

La vulnerabilità CVE-2020-12812 ancora attiva

⬆ Torna su Oltre alle vulnerabilità più recenti, Fortinet deve affrontare anche exploit di falle scoperte anni fa. Oltre 10.000 firewall Fortinet sono ancora esposti online e vulnerabili ad attacchi che sfruttano CVE-2020-12812, una vulnerabilità di bypass dell'autenticazione a due fattori scoperta cinque anni fa. Fortinet aveva rilasciato FortiOS versions 6.4.1, 6.2.4, e 6.0.10 nel luglio 2020 per correggere questa falla, consigliando agli amministratori che non potevano applicare immediatamente la patch di disattivare la sensibilità al caso del nome utente per bloccare i tentativi di bypass. Questa vulnerabilità di autenticazione impropria, con punteggio di gravità 9.8/10, è stata trovata in FortiGate SSL VPN e permette agli attaccanti di accedere a firewall non patchati senza essere richiesti per il secondo fattore di autenticazione quando viene cambiato il case del nome utente.

Lo sfruttamento continuo delle vulnerabilità

⬆ Torna su La scorsa settimana, Fortinet ha avvertito i clienti che gli attaccanti stanno ancora sfruttando CVE-2020-12812, prendendo di mira firewall con configurazioni vulnerabili che richiedono l'abilitazione di LDAP. L'Internet security watchdog Shadowserver rivela che attualmente traccia oltre 10.000 firewall Fortinet ancora esposti su Internet che non sono patchati contro CVE-2020-12812. CISA e l'FBI avevano avvertito nell'aprile 2021 che gruppi di hacking sponsorizzati dallo stato stavano prendendo di mira istanze Fortinet FortiOS usando exploit per multiple vulnerabilità, incluso uno che abusava di CVE-2020-12812 per bypassare l'autenticazione a due fattori. Sette mesi dopo, CISA ha aggiunto CVE-2020-12812 alla sua lista di vulnerabilità sfruttate conosciute, classificandola come sfruttata in attacchi ransomware e ordinando alle agenzie federali statunitensi di proteggere i loro sistemi entro maggio 2022.

La vulnerabilità CVE-2023-27997 e le preoccupazioni

⬆ Torna su Un'altra vulnerabilità critica che ha generato preoccupazioni è CVE-2023-27997, che ha ottenuto un punteggio di gravità di 9.8 su 10. Fortinet ha rilasciato una correzione a giugno per questa falla, scoperta dai ricercatori di Lexfo Security. Fortinet ha ammesso che il problema "potrebbe essere stato sfruttato in alcuni casi limitati" e ha rilevato che la campagna di hacking era "mirata a governi, industrie manifatturiere e infrastrutture critiche". I ricercatori della società di sicurezza Bishop Fox hanno annunciato di aver creato internamente uno sfruttamento per CVE-2023-27997. Il problema riguarda 490.000 interfacce SSL VPN esposte su Internet, e circa il 69% di queste non sono ancora state corrette. Secondo i calcoli dei ricercatori, ciò lascia attualmente più di 335.000 istanze vulnerabili al problema.

Le conseguenze per la sicurezza aziendale

⬆ Torna su Timothy Morris, consulente capo per la sicurezza presso Tanium, ha sottolineato che la gravità del problema "non può essere sottovalutata", considerando che esiste ora un codice di sfruttamento e che i dispositivi coinvolti sono tipicamente posizionati sul perimetro di un'organizzazione. Andrew Barratt, vicepresidente di Coalfire, ha affermato che "l'esecuzione remota di codice su un dispositivo di sicurezza è uno degli scenari peggiori possibili. Questi dispositivi sono sia le porte d'ingresso alla rete che un gran numero di quelli ancora vulnerabili è probabilmente dovuto all'impossibilità di mettere offline questi firewall". Secondo Andre van der Walt, direttore di threat intelligence di Ontinue, CVE-2023-27997 potrebbe portare a violazioni dei dati, attacchi ransomware e altre gravi conseguenze. Le scoperte di Bishop Fox riflettono la tendenza generale di ritardare significativamente la correzione delle nuove esposizioni nella superficie di attacco.

Questo articolo è stato redatto esclusivamente sulla base delle fonti elencate, senza aggiunte speculative o informazioni esterne.

Fonti

⬆ Torna su

• https://www.digitalworlditalia.it/sicurezza/cybercrimine-hacking/ondate-di-attacchi-ai-firewall-fortinet-e-palo-alto-chi-e-a-rischio-172220
• https://www.bleepingcomputer.com/news/security/over-10-000-fortinet-firewalls-exposed-to-ongoing-2fa-bypass-attacks/
• https://omniaservice-italia.it/bug-fortigate/