Avviso rilasciato per potenziale violazione della sicurezza nei sistemi FortiOS e FortiProxy
In un importante sviluppo, gli esperti di cybersecurity hanno messo in guardia su una potenziale minaccia per i dispositivi Fortinet a causa di una vulnerabilità nei suoi sistemi FortiOS e FortiProxy. Questo problema, classificato come bypass di autenticazione utilizzando un percorso o canale alternativo (CWE-288), è stato attivamente sfruttato sin dall'inizio del 2025.
La vulnerabilità consente a un attaccante remoto di acquisire privilegi di super-amministratore tramite richieste personalizzate al modulo websocket Node.js. Ciò potrebbe potenzialmente portare ad attacchi forza bruta se il websockettarget non è un punto di autenticazione.
I gruppi di ransomware e i cybercriminali che operano i Trojan di accesso remoto hanno documentato lo sfruttamento di questa debolezza di Fortinet sin dal marzo 2025. Il BSI tedesco ha emesso avvertimenti sulla sicurezza in agosto 2025, segnalando un periodo di sfruttamento attivo principalmente nel 2025.
Per mitigare questo rischio, il Centro australiano per la sicurezza informatica (ACSC) ha emesso un avviso, raccomandando agli utenti di implementare soluzioni temporanee, aggiornare alle versioni più recenti di FortiOS e FortiProxy, indagare su eventuali compromissioni e monitorare l'attività sospetta.
Una delle tattiche utilizzate dagli attori minacciosi è la creazione di account admin sui dispositivi interessati con nomi utente casuali. Inoltre, stanno anche creando account utente locali utilizzando nomi casuali. Un attaccante ha bisogno di conoscere il nome utente di un account admin per eseguire l'attacco, quindi avere un nome utente non standard e non intuibile per gli account admin offre una certa protezione.
Altre impostazioni, come la politica del firewall, vengono anche alterate dagli attaccanti per ottenere l'accesso non autorizzato alla rete interna. Le versioni interessate di FortiOS sono 7.0 - 7.0.16, FortiProxy 7.0 - 7.0.19 e 7.2-7.2.12.
Fortinet ha fornito soluzioni temporanee nella sua nota per gli utenti dei prodotti interessati e ha descritto possibili indicatori di compromissione. L'azienda incoraggia gli utenti a restare vigili e seguire le sue linee guida per proteggere i loro sistemi dagli attacchi potenziali.
Gli IP associati all'attore minaccioso possono aiutare a identificare l'attività sospetta. È fondamentale che le organizzazioni che utilizzano i prodotti Fortinet restino aggiornate su questo problema e prendano le precauzioni necessarie per proteggere i loro sistemi.
Leggi anche:
- La fondazione dell'industrializzazione in Europa può dipendere dall'elettricità
- Il voto di fiducia imminente l'8 settembre: esame delle sue potenziali conseguenze
- E' sicuro per una persona che soffre di demenza consumare hot dog?
- L'orologio misterioso Cartier di fascia alta si aspetta di vendere per oltre 6 milioni di dollari all'asta autunnale
