Vulnerabilità Fortinet sotto attacco: Allerta ACN su possibile bypass delle patch
L’Agenzia per la Cybersicurezza Nazionale (ACN) ha recentemente diramato un’allerta critica (AL03/260122/CSIRT-ITA) riguardante lo sfruttamento attivo di vulnerabilità già note in diversi prodotti della famiglia Fortinet.
Ciò che rende questa situazione particolarmente preoccupante non è solo la scoperta di nuove falle, ma l’evidenza che alcuni aggiornamenti rilasciati in precedenza potrebbero essere aggirati da attori malevoli attraverso tecniche di patch bypass.
Vulnerabilità CVE-2025-59718 e CVE-2025-59719
Nel mese di dicembre scorso, Fortinet ha rilasciato aggiornamenti di sicurezza volti alla mitigazione delle vulnerabilità CVE-2025-59718 e CVE-2025-59719. Tuttavia, recenti osservazioni suggeriscono che tali aggiornamenti potrebbero non garantire un’efficacia totale in specifici contesti applicativi. Sono stati infatti individuati potenziali casi di bypass delle patch, caratterizzati da accessi SSO malevoli che consentirebbero la creazione di account amministrativi non autorizzati su dispositivi FortiGate, inclusi sistemi aggiornati alla versione più recente rilasciata dal vendor. Al momento, tali evidenze sono in fase di analisi approfondita e non risultano ancora ufficialmente confermate da Fortinet.
Il Problema: Vulnerabilità “Ricorrenti” e Autenticazione SAML
Secondo i bollettini dello CSIRT Italia, il problema principale riguarda vulnerabilità di tipo Authentication Bypass (con punteggio di gravità CVSS – SCORE: 9.1 CRITICAL, quasi il massimo della scala).
Queste falle permettono a un attaccante remoto non autenticato di:
- Inviare risposte SAML (Security Assertion Markup Language) manipolate.
- Bypassare completamente i sistemi di login.
- Ottenere privilegi amministrativi sui dispositivi di rete.
I prodotti maggiormente a rischio includono le piattaforme core di molte aziende: FortiOS, FortiWeb, FortiProxy e FortiSwitchManager.
Perché le patch non bastano? Le cause del rischio
L’attuale allerta evidenzia un fenomeno critico nella cybersecurity moderna:
- Inefficacia degli aggiornamenti: In alcuni scenari specifici, gli hacker hanno trovato il modo di “aggirare” le correzioni ufficiali rilasciate tra fine 2025 e inizio 2026.
- Sfruttamento Attivo (In-the-wild): Non si tratta più di una minaccia teorica; l’ACN segnala che sono già in corso tentativi di intrusione che sfruttano queste debolezze.
- Complessità del Single Sign-On (SSO): L’integrazione di sistemi di autenticazione centralizzata, se non perfettamente configurata, offre nuove superfici d’attacco per il bypass dell’identità.
Azioni di Mitigazione: Cosa devono fare le aziende
L’ACN raccomanda una serie di azioni immediate che vanno oltre il semplice aggiornamento:
- Analisi dei Log: Verificare la presenza di login SSO anomali o la creazione di account amministrativi non riconosciuti (spesso chiamati “helpdesk” o nomi simili per mimetizzarsi).
- Monitoraggio IP: Controllare accessi provenienti da indirizzi IP esterni o geograficamente insoliti.
- Disabilitazione SSO: Se l’autenticazione Single Sign-On non è strettamente necessaria per la gestione dei dispositivi, è consigliabile disabilitarla temporaneamente fino a nuova conferma dal vendor.
Opinione: La rincorsa tra Patch e Hacker è diventata insostenibile?
Perché continuano a emergere problemi su prodotti che dovrebbero proteggerci? La mia opinione è che la velocità con cui i vendor rilasciano correzioni per vulnerabilità “critiche” stia portando a una diminuzione della qualità delle patch stesse.
Quando un’azienda come Fortinet deve rispondere a una minaccia globale in poche ore, il rischio che la soluzione sia solo parziale (un “cerotto” su una ferita profonda) è elevatissimo. Questo crea un falso senso di sicurezza: l’amministratore IT installa l’update e pensa di essere protetto, mentre l’attaccante sta già studiando come aggirare quella specifica riga di codice.
La sicurezza perimetrale non può più basarsi solo sulla fiducia nel software, ma deve spostarsi verso un modello di Zero Trust e monitoraggio continuo dei log.
Link Utili e Fonti:
Alert Ufficiale ACN – CSIRT Italia
