Secondo quanto emerso da recenti analisi condotte da ricercatori indipendenti, un enorme archivio contenente credenziali di accesso associate a circa 75.000 firewall FortiGate di Fortinet sarebbe finito nelle mani di gruppi criminali, aprendo scenari particolarmente delicati per aziende, enti pubblici e operatori critici.

La portata dell’incidente è significativa sia per il numero di sistemi coinvolti, sia per il valore strategico degli apparati compromessi. Un firewall aziendale rappresenta infatti uno dei principali punti di controllo dell’intera infrastruttura informatica. Ottenere accesso amministrativo a questi dispositivi significa, in molti casi, acquisire una posizione privilegiata dalla quale osservare il traffico di rete, intercettare comunicazioni e tentare movimenti laterali verso server e sistemi interni.

L’indagine è stata resa pubblica da Hudson Rock, società specializzata nell’analisi delle minacce informatiche, che ha esaminato un vasto archivio di dati attribuito a una campagna ribattezzata “FortiBleed”. Secondo i ricercatori, il database conterrebbe credenziali valide associate a oltre 21.000 domini distinti distribuiti in 194 Paesi.

Tra le organizzazioni che comparirebbero nei dati analizzati figurano grandi multinazionali appartenenti a settori estremamente diversi. I ricercatori citano aziende di primo piano attive nell’elettronica, nelle telecomunicazioni, nella logistica, nella consulenza e nel software enterprise. La presenza di nomi così rilevanti contribuisce ad aumentare l’attenzione attorno all’accaduto, anche se in molti casi non è ancora possibile stabilire se le credenziali siano tuttora utilizzabili o se siano già state invalidate dalle rispettive organizzazioni.

Uno degli aspetti più preoccupanti riguarda l’autenticità delle informazioni trapelate. Diversi esperti indipendenti che hanno avuto accesso a campioni del materiale sostengono infatti che i dati siano reali. Tra questi figura il ricercatore Kevin Beaumont, figura molto conosciuta nella comunità della cybersecurity, che ha dichiarato di aver verificato direttamente alcune combinazioni di username e password risultate effettivamente valide.

screenshot-www.hudsonrock.com-2026.06.18-12_15_45

L’elemento che rende il caso ancora più delicato è il fatto che molti dei dispositivi coinvolti non sembrano essere sistemi obsoleti o privi di aggiornamenti. Alcuni firewall interessati dalla fuga di credenziali risulterebbero infatti eseguire versioni relativamente recenti del software Fortinet. Questo dettaglio suggerisce che il problema non sarebbe necessariamente riconducibile a vulnerabilità attuali dei prodotti, ma piuttosto alla compromissione delle credenziali stesse attraverso tecniche differenti.

Secondo il ricercatore Volodymyr Diachenko, che per primo ha individuato l’operazione, gli attaccanti avrebbero utilizzato una combinazione di intercettazione delle autenticazioni VPN SSL e attacchi di cracking su larga scala per recuperare le password. L’infrastruttura impiegata sarebbe stata particolarmente sofisticata, facendo uso di cluster GPU ad alte prestazioni capaci di elaborare miliardi di tentativi contro sistemi esposti su Internet.

Le cifre emerse dalle analisi sono impressionanti. L’operazione avrebbe coinvolto oltre 320.000 firewall FortiGate e più di 160.000 server Microsoft SQL esposti in rete. Nel complesso sarebbero stati eseguiti oltre tre miliardi di tentativi di autenticazione e verifica delle credenziali, un volume che evidenzia le risorse economiche e tecnologiche a disposizione dei gruppi criminali coinvolti.

Gli esperti ritengono che in alcuni casi l’attività sia andata ben oltre la semplice raccolta di credenziali. Secondo quanto riportato da Diachenko, almeno quattro organizzazioni sarebbero state completamente compromesse. Tra queste figurerebbe anche un appaltatore della difesa collegato alla NATO operante in Turchia, dal quale sarebbero stati sottratti documenti classificati. Sebbene tali affermazioni richiedano ulteriori verifiche indipendenti, il quadro delineato conferma la gravità del rischio associato a credenziali amministrative finite nelle mani sbagliate.

A rendere ancora più complessa la situazione contribuisce il fatto che molti dei firewall coinvolti risultano tuttora accessibili da Internet. Secondo le stime basate sui dati raccolti dai motori di scansione specializzati, il numero dei dispositivi interessati rappresenterebbe una quota significativa dell’intero ecosistema Fortinet esposto pubblicamente.

Patch Tuesday vulnerabilità

Dal punto di vista operativo, il pericolo principale riguarda le connessioni VPN e le interfacce amministrative. Se le credenziali risultassero ancora valide, un attaccante potrebbe ottenere accesso remoto ai sistemi aziendali senza dover sfruttare vulnerabilità software particolarmente sofisticate. In presenza di privilegi elevati, il passaggio dal firewall alla rete interna potrebbe diventare relativamente semplice, soprattutto in ambienti privi di segmentazione adeguata o di controlli aggiuntivi.

Per questo motivo gli specialisti raccomandano interventi immediati. La rotazione delle password associate ai dispositivi Fortinet rappresenta il primo passo necessario per ridurre il rischio. Altrettanto importante è la verifica dell’autenticazione multifattore, che continua a essere una delle contromisure più efficaci contro l’utilizzo fraudolento di credenziali compromesse.

Fortinet ha successivamente risposto alle segnalazioni ridimensionando la portata dell’evento. L’azienda sostiene che i dati emersi non derivino da una nuova compromissione dei propri sistemi e che il materiale pubblicato rappresenti in larga parte una rielaborazione di informazioni provenienti da incidenti precedenti e da attività di brute force effettuate nel corso del tempo. Secondo la società, le organizzazioni che hanno seguito le normali pratiche di sicurezza, aggiornando regolarmente le credenziali e adottando misure di protezione adeguate, dovrebbero affrontare rischi limitati.

La distinzione tra una nuova violazione e il riutilizzo di dati raccolti in campagne precedenti è certamente rilevante dal punto di vista tecnico, ma non modifica il fatto che l’esistenza di un archivio verificato contenente credenziali funzionanti associate a migliaia di firewall enterprise rappresenti una minaccia concreta, visto che anche password ottenute mesi prima possono trasformarsi in un vettore d’accesso estremamente efficace se non vengono sostituite tempestivamente.

(Immagine in apertura: Shutterstock)