Nel giro di pochi giorni, tre delle piattaforme di sicurezza e networking più diffuse nelle infrastrutture aziendali di tutto il mondo si sono ritrovate al centro di campagne di sfruttamento attivo. Fortinet FortiClient EMS, F5 BIG-IP APM e Citrix NetScaler, strumenti su cui milioni di organizzazioni fanno affidamento quotidiano per gestire accessi, policy di rete e connettività sicura, sono ora esposti a vulnerabilità critiche già utilizzate da attori malevoli. La finestra temporale tra la divulgazione pubblica e l’inizio dello sfruttamento si sta riducendo in modo preoccupante e questa ondata di attacchi ne è l’ennesima conferma.

FortiClient EMS: SQL injection sfruttata prima ancora dell’aggiornamento delle liste ufficiali

La prima delle tre vulnerabilità riguarda Fortinet FortiClient EMS, la piattaforma di gestione centralizzata degli endpoint della società californiana. La falla, tracciata come CVE-2026-21643, è una SQL injection che consente a un attaccante non autenticato di eseguire codice arbitrario sul sistema bersaglio attraverso richieste HTTP appositamente costruite, sfruttando l’intestazione “Site” per iniettare istruzioni SQL nell’interfaccia web del prodotto. L’attacco non richiede privilegi particolari né elevata complessità tecnica, due caratteristiche che lo rendono particolarmente appetibile per chi opera su scala.

La vulnerabilità è stata scoperta internamente da Gwendal Guégniaud del team di sicurezza prodotto di Fortinet e interessa la versione 7.4.4 di FortiClient EMS. La correzione è disponibile nella versione 7.4.5, ma nel momento in cui la società di threat intelligence Defused ha lanciato l’allerta, lo sfruttamento era già in corso da almeno quattro giorni, nonostante il CVE non figurasse ancora come attivamente sfruttato né nelle liste CISA né in altri database di vulnerabilità note. Un dettaglio che dovrebbe far riflettere chi si affida esclusivamente alle notifiche ufficiali come unico campanello d’allarme.

Secondo i dati di Shadowserver, oltre 2.000 istanze di FortiClient EMS hanno l’interfaccia web esposta direttamente su Internet, con più di 1.400 indirizzi IP concentrati tra Stati Uniti ed Europa. Non è una superficie d’attacco trascurabile, soprattutto considerando la storia recente di Fortinet. Finora CISA ha infatti catalogato 24 vulnerabilità del vendor come attivamente sfruttate, 13 delle quali coinvolte in attacchi ransomware. Una precedente SQL injection su FortiClient EMS, risalente al marzo 2024, era stata utilizzata sia in campagne ransomware sia dal gruppo cinese Salt Typhoon per compromettere provider di telecomunicazioni.

Stryker CISA

Crediti: Shutterstock

F5 BIG-IP APM: da denial-of-service a esecuzione remota di codice

Il secondo fronte riguarda F5 Networks e la sua piattaforma BIG-IP APM, un proxy di gestione centralizzata degli accessi ampiamente adottato in ambienti enterprise per proteggere reti, cloud, applicazioni e API. La vulnerabilità CVE-2025-53521 era stata inizialmente classificata come un problema di denial-of-service, una categoria che, per quanto seria, non evoca scenari di compromissione totale del sistema. A marzo 2026, però, F5 ha reclassificato la falla come una vulnerabilità critica di remote code execution, sulla base di nuove informazioni acquisite nel corso delle settimane precedenti.

In pratica, un attaccante privo di privilegi può sfruttare la falla per eseguire codice da remoto su sistemi BIG-IP APM che abbiano policy di accesso configurate su un virtual server. La conferma che la vulnerabilità è già sfruttata in ambienti reali ha reso l’aggiornamento non più rimandabile e F5 ha pubblicato indicatori di compromissione, invitando gli amministratori a verificare dischi, log e cronologia dei terminali alla ricerca di attività sospette, con un esplicito richiamo alle procedure forensi aziendali prima di qualsiasi tentativo di ripristino.

Citrix NetScaler: il fantasma di CitrixBleed si ripresenta

Il terzo episodio è forse il più inquietante dal punto di vista della memoria storica. La vulnerabilità CVE-2026-3055 colpisce Citrix NetScaler ADC e NetScaler Gateway, due componenti fondamentali per la gestione del traffico applicativo e l’accesso remoto sicuro. Citrix l’ha definita come una falla limitata agli apparati configurati come SAML identity provider, una presentazione che diversi ricercatori hanno successivamente definito incompleta e fuorviante.

Crediti: Shutterstock

Crediti: Shutterstock

L’analisi condotta da watchTowr ha infatti rivelato che la CVE-2026-3055 copre in realtà almeno due distinti bug di memory overread: uno che interessa l’endpoint /saml/login dedicato all’autenticazione SAML e un secondo che colpisce /wsfed/passive, utilizzato per l’autenticazione WS-Federation passiva. La combinazione consente di estrarre dalla memoria del sistema informazioni sensibili, inclusi session ID amministrativi autenticati, aprendo la strada alla compromissione completa dell’appliance.

I ricercatori di watchTowr hanno osservato attività di ricognizione su istanze vulnerabili già prima della conferma dello sfruttamento e il 27 marzo hanno rilevato traffico malevolo proveniente da indirizzi IP associati a threat actor noti. Il parallelo con CitrixBleed del 2023 e CitrixBleed2 del 2025, due vulnerabilità che avevano causato danni enormi a livello globale, non è passato inosservato alla comunità della sicurezza, che aveva anticipato uno scenario di questo tipo non appena i dettagli tecnici erano diventati pubblici.

Un pattern che si ripete

Guardando i tre casi insieme, emerge un pattern ricorrente che sta in qualche modo ridefinendo le minacce informatiche contemporanee. Le vulnerabilità vengono infatti sfruttate in tempi sempre più rapidi rispetto alla loro divulgazione ufficiale e in alcuni casi, come con FortiClient EMS, addirittura prima che le liste di monitoraggio istituzionali vengano aggiornate. Inoltre, come dimostra il caso F5, le classificazioni iniziali si rivelano spesso incomplete e le divulgazioni parziali da parte dei vendor, come quella di Citrix, lasciano agli amministratori una comprensione distorta del rischio reale.

Per chi gestisce infrastrutture che includono uno o più di questi prodotti, la strategia di difesa consiste nell’applicare le patch disponibili senza attendere ulteriori conferme, nel verificare i log alla ricerca di indicatori di compromissione già pubblicati e nel non fare affidamento esclusivo sulle notifiche ufficiali come soglia di allerta.

(Immagine in apertura: Shutterstock)