Red Hot Cyber, il blog italiano sulla sicurezza informatica
Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

Fortinet VPN: 1000 realtà italiane ancora a rischio?

Michele Pinassi : 13 Settembre 2021 07:28

Autore: Michele Pinassi

Data Pubblicazione: 12/09/2021

Le VPN di Fortinet non patchate mettono a serio rischio oltre 900 realtà italiane, dopo la diffusione di oltre 500.000 credenziali da parte del gruppo ransomware Groove

La notizia che un attore ha pubblicato un lungo elenco di oltre 500.000 account prelevati da 12.856 VPN Fortinet compromesse su RAMP, un forum di hacking russo sul darkweb, ha fatto tornare prepotentemente alla ribalta lo spettro di quando, un anno fa, l’enorme impatto dei 4 CVEs relativi alle VPN Fortinet fece passare notti insonni ad amministratori di sistema di mezzo mondo.

Vorresti toccare con mano la Cybersecurity e la tecnologia? Iscriviti GRATIS ai WorkShop Hands-On della RHC Conference 2025 (Giovedì 8 maggio 2025)

Se sei un ragazzo delle scuole medie, superiori o frequenti l'università, oppure banalmente un curioso di qualsiasi età, il giorno giovedì 8 maggio 2025 presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terranno i workshop "hands-on", creati per far avvicinare i ragazzi alla sicurezza informatica e alla tecnologia. Questo anno i workshop saranno:

  • Creare Un Sistema Ai Di Visual Object Tracking (Hands on)
  • Social Engineering 2.0: Alla Scoperta Delle Minacce DeepFake
  • Doxing Con Langflow: Stiamo Costruendo La Fine Della Privacy?
  • Come Hackerare Un Sito WordPress (Hands on)
  • Il Cyberbullismo Tra Virtuale E Reale
  • Come Entrare Nel Dark Web In Sicurezza (Hands on)
    •
    Potete iscrivervi gratuitamente all'evento, che è stato creato per poter ispirare i ragazzi verso la sicurezza informatica e la tecnologia.
    Per ulteriori informazioni, scrivi a [email protected] oppure su Whatsapp al 379 163 8765


    Supporta RHC attraverso:


    Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.

    • CVE-2018-13379: Pre-auth arbitrary file reading
    • CVE-2018-13380: Pre-auth XSS
    • CVE-2018-13381: Pre-auth heap overflow
    • CVE-2018-13382: The magic backdoor

    A quanto risulterebbe dalle notizie diffuse dalla stampa di settore, l’analisi della diffusione geografica degli IP nella lista rilasciata dal gruppo cybercriminale Groove, avrebbe evidenziato 12.856 dispositivi compromessi in tutto il mondo:

    “Groove released leaks of Fortinet VPN SSL credentials via their leak website. The list contains 799 directories and 86,941 purportedly compromised VPN connections. The reason behind the leak is unclear.”

    Groove VS Babuk; Groove Ransom Manifesto & RAMP Underground Platform Secret Inner Workings

    L’8 per cento di questi IP sembra appartenere a VPN italiane compromesse. Un ben poco lusinghiero terzo posto dopo l’India e Taiwan.


    Hackers leak passwords for 500,000 Fortinet VPN accounts, BleepingComputer

    L’analisi dell’archivio diffuso attraverso il loro blog, accessibile solo via TOR e organizzato secondo cartelle per paese, conferma la presenza delle credenziali di accesso per 911 dispositivi italiani

    Una ulteriore analisi dell’elenco attraverso strumenti di IP geolocation, senza però entrare nella verifica puntuale delle criticità (la speranza è che i dispositivi individuati siano stati, nel mentre, fixati), evidenzia come la maggioranza degli stessi sia nelle regioni del nord (Lombardia e Piemonte in primis). Pochi dispositivi nel centro Italia e ancora meno nel sud, a conferma di come il digital divide italiano incida anche sul tema delle vulnerabilità.

    Preoccupante la presenza di svariate potenziali porte di accesso a reti aziendali, che rappresentano forse l’obiettivo privilegiato dei cybercriminali: queste vulnerabilità permettono infatti di “inoculare” software malevoli come i ransomware, prendendo letteralmente “in ostaggio” i dati e i sistemi aziendali.

    Già, perché avere un dispositivo compromesso o vulnerabile all’interno della propria rete aziendale, soprattutto se si tratta di un apparato perimetrale come un router o un firewall, non è poi così diverso dal lasciare aperto il portone di casa o il cancello dell’azienda. Con l’aggravante che, attraverso Internet, chiunque può accederci senza neanche uscire dalla propria stanza.

    Se nel caso specifico, considerando il grande clamore che le vulnerabilità hanno avuto nei mesi passati, ci sono ben poche scusanti nel non aver provveduto all’installazione delle patch rilasciate prontamente da Fortinet. Tuttavia è ancora molto diffusa l’abitudine di non installare gli aggiornamenti negli apparati, con la sgradevole conseguenza di subire costosi (sia economicamente che sotto gli aspetti reputazionali) attacchi cyber.

    A tutto ciò si aggiunge la grande disponibilità di strumenti per effettuare questi attacchi (per le vulnerabilità di Fortinet di cui abbiamo parlato esistono ormai decine di tools gratuiti liberamente scaricabili, come fortiscan): credo sia ormai improrogabile la necessità che aziende e istituzioni provvedano alla costituzione di team e strutture specifiche nel gestire gli aspetti di sicurezza informatica, per ridurre la superficie di attacco e mitigare gli incidenti che, purtroppo, possono verificarsi.

    Michele Pinassi
    Nato e cresciuto a Siena, è Responsabile della Cybersecurity dell’Università di Siena. Lavora nel campo ICT da oltre 20 anni, usando esclusivamente software libero. Da sempre attento alle tematiche sulla privacy e sui diritti civili digitali, attraverso il suo blog nato nel lontano 2000, è ancora attivamente impegnato nel sensibilizzare i cittadini su queste tematiche.

    Articoli in evidenza

    Windows Server: falla critica scoperta in Active Directory

    Microsoft ha rilasciato un aggiornamento di sicurezza critico per risolvere il CVE-2025-29810, una vulnerabilità di elevazione dei privilegi che colpisce Active Directory Domain Services (AD DS)....

    Il Mito della Biometria Sicura! La Verità Shock sui Nuovi Attacchi Digitali

    Se ti violano la password, cambi la password. Se ti violano l’impronta digitale, non puoi cambiare il dito. Fatta questa doverosa premessa, l’autenticazione biometrica sta sostituendo at...

    Microsoft Remote Desktop in Pericolo: Rilasciate 2 Patch Di Sicurezza di cui una RCE

    E’ stata scoperta una nuova falla di sicurezza che affligge i Servizi di Desktop remoto di Microsoft Windows che potrebbe consentire agli aggressori di eseguire codice arbitrario in remoto sui ...

    Allarme Microsoft: un exploit zero-day di Privilege Escalation sfruttato per rilasciare Ransomware

    Microsoft Threat Intelligence ha rivelato lo sfruttamento attivo di una vulnerabilità zero-day nel Common Log File System (CLFS) di Windows, identificata come CVE-2025-29824. L’exploit, ut...

    Allarme sicurezza Fortinet: falla critica su FortiSwitch consente cambio password da remoto

    Fortinet ha rilasciato un avviso di sicurezza per risolvere una vulnerabilità critica nei prodotti FortiSwitch. La vulnerabilità, identificata come CVE-2024-48887 (CVSS 9.3), potrebbe consen...

    Categorie
    Segui i corsi di ethical hacking di CyberSecurityUP
    Banner
    Redhotcyber è un progetto di open-news nato nel 2019 e successivamente ampliato in una rete di persone che collaborano alla divulgazione di informazioni e temi incentrati la tecnologia, l'Information Technology e la sicurezza informatica, con lo scopo di accrescere i concetti di consapevolezza del rischio ad un numero sempre più crescente di persone.

    PRINCIPALI CATEGORIE
    Attacchi Informatici Italiani
    Dark Web & Cybercrime
    0day, bug e Vulnerabilità
    Hacking
    Cybersecurity Italia
    Cyberpolitica & Intelligence

    RISORSE
    Academy
    Rubriche
    Il manifesto di Red Hot Cyber
    Feed RSS
    Contatti

    Copyright @ REDHOTCYBER Srl
    PIVA 17898011006