I firewall FortiGate stanno diventando il bersaglio silenzioso di una campagna di attacchi automatizzati che sta preoccupando sempre più i responsabili della sicurezza informatica. Secondo un avviso diffuso da Arctic Wolf, società specializzata in cybersecurity, a partire dal 15 gennaio è stata osservata un’intensa attività malevola rivolta agli apparati Fortinet con l’obiettivo di aggirare le protezioni di autenticazione SSO, modificare le configurazioni di sicurezza e sottrarre informazioni critiche direttamente dai dispositivi.

Gli attaccanti, una volta ottenuto l’accesso tramite account SSO compromessi, intervengono in modo sistematico sui firewall, creando nuovi utenti amministrativi, alterando le regole VPN e firewall e infine esportando l’intera configurazione del dispositivo. Questi file contengono spesso credenziali sensibili, dettagli sull’architettura di rete interna e informazioni operative che rappresentano, di fatto, una mappa completa dell’infrastruttura da colpire in seguito. La rapidità con cui avvengono queste operazioni, concentrate in pochi secondi, suggerisce con forza l’uso di strumenti automatizzati piuttosto che di interventi manuali.

Ciò che rende la situazione particolarmente delicata è l’assenza, almeno ufficialmente, di una nuova vulnerabilità dichiarata. Arctic Wolf non parla infatti di zero-day inediti, ma di uno schema di comportamento che richiama da vicino lo sfruttamento di falle già note. L’attività osservata è infatti coerente con due gravi vulnerabilità di bypass dell’autenticazione (CVE-2025-59718 e CVE-2025-59719), che consentono di superare i controlli SSO attraverso risposte SAML appositamente costruite. Fortinet aveva rilasciato le patch correttive lo scorso dicembre, ma i fatti sembrano raccontare una storia diversa.

 

Negli ambienti di amministratori di sistema, in particolare su Reddit, stanno infatti emergendo testimonianze preoccupanti. Diversi utenti affermano che Fortinet avrebbe riconosciuto in via privata che FortiOS 7.4.10 non risolve completamente il problema di bypass dell’autenticazione SSO, nonostante la vulnerabilità fosse stata dichiarata corretta già con FortiOS 7.4.9. Alcuni clienti riportano intrusioni su sistemi pienamente aggiornati, alimentando il sospetto che esista un meccanismo di aggiramento della patch capace di rendere inefficaci le contromisure adottate finora.

firewall fortigate

Le evidenze tecniche raccolte rafforzano questa ipotesi. I log condivisi dalle organizzazioni colpite mostrano accessi via SSO provenienti da un indirizzo email specifico (cloud-init@mail.io) associato all’IP 104.28.244.114. Subito dopo il login, gli attaccanti procedono alla creazione di nuovi account amministrativi, replicando esattamente il comportamento descritto da Arctic Wolf nelle proprie analisi. Gli stessi indicatori erano già comparsi in tentativi di sfruttamento osservati nel mese di dicembre, segno di una campagna persistente e ben strutturata.

Il quadro che emerge è quello di firewall sempre più complessi, integrati con sistemi di autenticazione federata e servizi cloud, ma proprio per questo esposti a nuove superfici di attacco. Il paradosso è che strumenti progettati per proteggere il perimetro diventano essi stessi un punto di ingresso privilegiato, soprattutto quando le vulnerabilità riguardano i meccanismi di autenticazione e gestione centralizzata degli accessi.

Fortinet, secondo diverse fonti, starebbe lavorando a ulteriori aggiornamenti correttivi, con il rilascio imminente di nuove versioni di FortiOS, tra cui 7.4.11, 7.6.6 e 8.0.0, pensate per affrontare in modo definitivo la CVE-2025-59718. Nel frattempo, però, le organizzazioni non possono permettersi di attendere passivamente.

Arctic Wolf raccomanda una serie di azioni immediate tra cui verificare attentamente tutti gli account amministrativi presenti sui FortiGate, analizzare le modifiche recenti alle configurazioni, ruotare le credenziali potenzialmente esposte e monitorare con particolare attenzione qualsiasi attività SSO anomala.