Alert GCSA-26110 - Campagna di compromissione credenziali di firewall e VPN Fortinet (FortiBleed)

-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 ****************************************************************** alert ID: GCSA-26110 data: 19 giugno 2026 titolo: Campagna di compromissione credenziali di firewall e VPN Fortinet (FortiBleed) ****************************************************************** :: Descrizione del problema Dei ricercatori di sicurezza hanno scoperto un dataset pubblicamente esposto, contenente decine di migliaia di credenziali compromesse, relative a dispositivi Fortinet. Questa massiccia campagna attiva di furto di credenziali, denominata FortiBleed, coinvolge circa la meta' dei firewall e dei gateway VPN di Fortinet, accessibili da Internet. Al momento, non ci sono evidenze che questa attivita' sia correlata ad una vulnerabilita' zero-day. Le indagini attuali indicano che le credenziali sono state molto probabilmente ottenute tramite attacchi brute-force e credential stuffing. Alcune vulnerabilita' note di Fortinet potrebbero essere state sfruttate in modo opportunistico, ma non sono state confermate come causa principale della campagna. Maggiori informazioni sono disponibili alla sezione "Riferimenti". :: Prodotti interessati FortiOS Fortinet FortiGate :: Impatto Bypass delle funzionalita' di sicurezza (SFB) Acquisizione di privilegi piu' elevati (EoP) Attacco alla confidenzialita' dei dati (ID) :: Soluzioni Sono stati resi disponibili dei tool di ricerca sul datiset FortiBleed FortiBleed lookup tool https://www.hudsonrock.com/fortinet FortiBleed Check https://socradar.io/free-tools/fortibleed Possibile azioni di contenimento/hardening - terminare le sessioni attive - cambiare subito le credenziali - abilitare l'autenticazione a piu' fattori - verificare che le credenziali dell'amministratore vengano criptate con l'algoritmo PBKDF2 (Password-Based Key Derivation Function 2) - esaminare i log per identificare attivita' sospette - non esporre a Internet o limitare l'accesso all'interfaccia di gestione di FortiOS - mantenere aggiornato il firmware all'ultima versione di FortiOS :: Riferimenti Bollettino ACN https://www.acn.gov.it/portale/w/fortibleed-esposizione-di-credenziali-ssl-vpn-associate-a-dispositivi-fortinet-esposti-su-internet CERT-AGID https://cert-agid.gov.it/news/fortibleed-credenziali-fortinet-esposte-interessata-anche-la-pa-italiana/ SOCRadar https://socradar.io/blog/fortibleed-fortinet-firewalls-compromised/ DoublePulsar https://doublepulsar.com/fortibleed-75k-fortinet-firewalls-have-admin-passwords-cracked-60299faa65f8 Hudson Rock https://www.hudsonrock.com/blog/fortibleed-75000-fortinet-firewalls-compromised-global-enterprises-exposed-claim-your-ethical-disclosure 2026-June Fortibleed Credential Exposure https://support.huntress.io/hc/en-us/articles/52698652545171-2026-June-Fortibleed-Credential-Exposure CISA Urges Hardening Fortinet Devices After Reports of Credential Exposure https://www.cisa.gov/news-events/alerts/2026/06/18/cisa-urges-hardening-fortinet-devices-after-reports-credential-exposure SecurityWeek https://www.securityweek.com/fortibleed-86000-fortinet-device-credentials-compromised/ https://www.securityweek.com/3-recently-patched-fortinet-fortisandbox-vulnerabilities-in-hacker-crosshairs/ The Hacker News https://thehackernews.com/2026/06/attackers-exploit-three-fortinet.html Bleeping Computer https://www.bleepingcomputer.com/news/security/fortibleed-leak-exposes-fortinet-vpn-credentials-for-73-000-devices/ https://www.bleepingcomputer.com/news/security/critical-fortinet-fortisandbox-flaws-now-exploited-in-attacks/ GARR CERT Security Alert - subscribe/unsubscribe: http://www.cert.garr.it/alert/ricevi-gli-alert-di-cert -----BEGIN PGP SIGNATURE----- iF0EAREIAB0WIQTGpdiR5MqstacBGHbBnEyTZRJgQgUCajVLuQAKCRDBnEyTZRJg QlCOAKCORb26tGKiw7PdShTg/2tBRdU+5wCeM7mnlXyaELxw1XWecJDdUdpRgKc= =N8An -----END PGP SIGNATURE-----