"FortiBleed": credenziali esposte per 74.000 firewall Fortinet in tutto il mondo

Il firewall è la porta blindata di una rete aziendale. Quando le sue chiavi finiscono in mani sbagliate, l'intera difesa vacilla. Il 18 giugno il ricercatore di sicurezza Volodymyr Diachenko ha reso pubblica una campagna — battezzata "FortiBleed" — che ha esposto le credenziali di accesso di circa 74.000 firewall Fortinet FortiGate in 194 Paesi.

L'attacco non ha sfruttato una falla nuova, ma una debolezza vecchia: gli aggressori hanno violato i vecchi hash SHA-256 con cui erano protette le password delle configurazioni VPN, usando un cluster di GPU e attingendo a credenziali già trapelate in violazioni precedenti e ai log dei malware "infostealer". Si parla di oltre un miliardo di tentativi contro centinaia di migliaia di obiettivi. Nei dati comparirebbero nomi di grandi gruppi internazionali — da AT&T a Mercedes-Benz, da Accenture a Samsung e Siemens — e le credenziali sarebbero in vendita nei forum clandestini.

Una precisazione doverosa: si tratta di un'esposizione di credenziali, non della compromissione confermata di tutti quei dispositivi; al momento della pubblicazione Fortinet non aveva commentato. Ma il caso ribadisce due lezioni elementari: gli algoritmi crittografici invecchiano e vanno aggiornati, e le password riutilizzate o rubate altrove restano il grimaldello più efficace. La difesa, qui, passa da autenticazione a più fattori, rotazione delle credenziali e dismissione di ciò che è obsoleto.

The firewall is the armored door of a corporate network. When its keys fall into the wrong hands, the whole defense wobbles. On June 18 the security researcher Volodymyr Diachenko made public a campaign — dubbed "FortiBleed" — that exposed the access credentials of about 74,000 Fortinet FortiGate firewalls across 194 countries.

The attack did not exploit a new flaw, but an old weakness: the attackers cracked the old SHA-256 hashes protecting the passwords of VPN configurations, using a GPU cluster and drawing on credentials already leaked in previous breaches and on "infostealer" malware logs. Over a billion attempts against hundreds of thousands of targets are reported. The data reportedly includes names of large international groups — from AT&T to Mercedes-Benz, from Accenture to Samsung and Siemens — and the credentials are said to be on sale in underground forums.

A necessary clarification: this is a credential exposure, not the confirmed compromise of all those devices; at publication time Fortinet had not commented. But the case restates two elementary lessons: cryptographic algorithms age and must be updated, and passwords reused or stolen elsewhere remain the most effective skeleton key. The defense, here, runs through multi-factor authentication, credential rotation and decommissioning of what is obsolete.