FortiBleed: 74.000 firewall Fortinet esposti e nessuna patch da applicare

Il 18 giugno 2026 un ricercatore ha trovato su internet un server aperto contenente username, email e password di 73.932 firewall Fortinet esposti — all'incirca metà di tutti i FortiGate raggiungibili dalla rete pubblica, distribuiti su 194 Paesi. Il dataset, ora noto come FortiBleed, elenca tra le vittime Samsung, Siemens, Foxconn, Oracle, Accenture, Chevron e Comcast, oltre ad agenzie governative e operatori di infrastrutture critiche. Kevin Beaumont, che collabora con diverse delle organizzazioni in elenco, ha confermato che le credenziali erano reali e funzionanti. Almeno quattro organizzazioni nel set risultavano completamente compromesse.

C'è un dettaglio che conta, e che gran parte della copertura ha lasciato sullo sfondo: in questa storia non esiste alcun CVE. Niente da patchare. I firewall nel dump, parole di Beaumont, erano per lo più su firmware recente. All'attaccante non serve una vulnerabilità: ha la password di amministrazione ed entra dalla porta principale, come un amministratore qualsiasi. Questo singolo fatto manda in crisi il modello difensivo su cui la maggior parte delle organizzazioni continua a poggiare.

FortiBleed: 74.000 firewall e niente da patchare

L'istinto, nel momento in cui esce un titolo su Fortinet, è controllare il numero di versione. Siamo su una build FortiOS vulnerabile? Esiste un fix? È in CISA KEV? È il riflesso giusto di fronte a una vulnerabilità. Qui è inutile.

FortiBleed non è il prodotto di una catena di exploit contro codice non aggiornato. È il risultato di una campagna lunga e paziente di raccolta credenziali, e le credenziali che ne escono funzionano a prescindere dal livello di patch. Un dispositivo aggiornato stamattina è nel dataset perché è trapelata la sua password, non perché il suo software fosse vulnerabile. Il dump Belsen Group del 2025 — circa 15.000 configurazioni FortiGate, costruito sullo zero-day del 2022 CVE-2022-40684 — è confluito in questo insieme più ampio, ma FortiBleed è una raccolta distinta, molto più grande e più recente.

Le credenziali erano memorizzate in chiaro all'interno dei file di configurazione esportati, oppure come SHA-256 con salt — crackabili su GPU di fascia consumer. Fortinet è passata allo storage PBKDF2 per le password admin solo all'inizio del 2025, e solo per i dispositivi su cui un amministratore ha effettuato il login dopo l'aggiornamento. Tutto ciò che era più vecchio era raccoglibile.

Come è stato costruito il dataset FortiBleed: raccolta su scala industriale

Il meccanismo è la parte interessante, perché è un ciclo chiuso che si autoalimenta. Secondo il ricercatore Volodymyr "Bob" Diachenko, che ha scoperto il server esposto, l'operazione ha effettuato circa 1,16 miliardi di tentativi di credenziali contro oltre 320.000 target FortiGate per intercettare gli hash di autenticazione SSL VPN, poi crackati su un cluster di 45 GPU gestito con Hashtopolis. L'operatore sospetto è un gruppo di lingua russa.

In sintesi, il ciclo è:

• Scansione internet-wide degli endpoint SSL VPN FortiGate.
• Tentativi di autenticazione di massa — password spraying, liste di default note, replay di credenziali raccolte altrove — per catturare e crackare gli hash VPN.
• Ogni firewall compromesso diventa un punto di ascolto: si colloca nel percorso del traffico e raccoglie ogni ulteriore credenziale VPN che lo attraversa.
• Quelle credenziali fresche rientrano direttamente nello scanner, compromettendo l'anello successivo di dispositivi.

È per questo che il numero è così grande. Non è la violazione di un singolo vendor: è una raccolta auto-propagante in cui il firewall — il dispositivo comprato proprio per fermare tutto questo — diventa il punto di collezione. E una volta in mano una credenziale VPN valida, i passi successivi sono banali e silenziosi: autenticarsi, esportare la configurazione, fare pivot in Active Directory. L'analisi di Diachenko descrive esattamente quel pivot verso AD a valle dell'accesso SSL VPN.

Perché una VPN Fortinet perfettamente aggiornata è comunque compromessa

L'industria della difesa ha passato quindici anni a costruire una macchina ottimizzata per una sola domanda: questa cosa è patchata? Gli scanner enumerano le versioni. Le dashboard tracciano la copertura dei fix. Le scadenze KEV dettano la cadenza di remediation. I framework di compliance chiedono prova che i CVE critici siano stati chiusi entro l'SLA. Tutta questa infrastruttura punta ai difetti del software.

FortiBleed non è un difetto del software. È un problema di credenziali valide, e la macchina patch-centrica gli è strutturalmente cieca:

Auditor: "Mostrami lo stato delle patch Fortinet." Tu: "100%. Ogni appliance sull'ultimo FortiOS, ogni bollettino di giugno chiuso entro la scadenza." Auditor: "Bene. Quindi non siete in FortiBleed?" Tu: "…siamo in FortiBleed."

Entrambe le affermazioni sono vere nello stesso momento. Conformità delle patch e compromissione delle credenziali sono ortogonali. Puoi essere perfetto su un asse ed essere compromesso sull'altro, e niente in una visione del mondo fatta di versioni e patch ti dirà su quale.

È la stessa forma di diversi incidenti che abbiamo raccontato — un login valido che nessun controllo segnala come ostile. È il cugino strutturale del bypass della VPN Check Point, dove un'autenticazione riuscita non lasciava alcun artefatto d'identità per l'IdP. FortiBleed elimina perfino il bypass: l'attaccante non aggira l'autenticazione, la supera.

Il divario di rilevamento: le credenziali valide non fanno scattare nulla

Fai passare una sessione FortiBleed autenticata davanti a ogni livello difensivo e guardali tutti restituire il verde:

Controllo difensivo	Cosa vede	Verdetto
Vulnerability scanner	Ultimo FortiOS, nessun CVE noto	Pulito
Patch dashboard	Copertura remediation al 100%	Conforme
Log auth firewall / SSL VPN	Login riuscito, password corretta	Autorizzato
Identity provider (SSO)	Sessione valida, credenziale valida	Affidabile
EDR/NDR a firma	Nessun payload di exploit, nessun malware noto	Nulla da confrontare

Ogni controllo sta facendo correttamente il proprio lavoro, e l'attaccante passa indisturbato. L'unico punto in cui la compromissione diventa visibile è nel comportamento dopo il login: una sessione amministrativa che si apre da un sistema autonomo da cui questo firewall non è mai stato gestito, un'esportazione completa della configurazione a un'ora anomala, un tunnel nuovo di zecca che raggiunge un segmento di rete che gli utenti VPN non hanno storicamente mai toccato, e poi traffico SMB e LDAP che si dirama verso i domain controller. Niente di tutto questo è una firma. Tutto è un pattern nel traffico, e accade mentre l'operatore è ancora dentro — non nel digest SIEM di domani.

È questo il divario. Quando la credenziale è valida, il filo è l'unico testimone onesto rimasto.

Cosa CISA ha effettivamente detto di fare ai difensori Fortinet

CISA ha emesso indicazioni lo stesso giorno in cui è emerso il leak, e vale la pena leggerle per ciò con cui non apre. Le prime istruzioni non sono "patchate". Riguardano credenziali e traffico. CISA ha raccomandato alle organizzazioni di:

• Terminare immediatamente tutte le sessioni SSL VPN e amministrative.
• Reimpostare ogni password VPN e amministrativa.
• Imporre autenticazione multifattore resistente al phishing.
• Esaminare i log alla ricerca di accessi non autorizzati e movimenti laterali.
• Migrare lo storage delle credenziali admin a PBKDF2.
• Limitare la gestione del firewall dalla rete pubblica e rimuovere gli account non autorizzati.

Si noti il quarto punto. Reimpostare le password chiude la porta da qui in avanti; non fa nulla contro l'attaccante che è già passato e ha stabilito persistenza settimane fa. "Esaminare i log per i movimenti laterali" è il lavoro vero, ed è esattamente il lavoro che gli strumenti a firma e le dashboard delle patch non possono fare — perché non c'è alcuna firma né alcuna patch mancante da trovare. La conferma indipendente di CyberInsider e altri pone lo stesso accento: presumere la compromissione, non presumere che il livello di patch protegga.

Reinquadrare il problema delle credenziali VPN Fortinet con Zero Hunt

Se l'intero vantaggio dell'attaccante è che una credenziale valida più il movimento laterale sembrano normale amministrazione, allora la difesa deve operare lì dove quel travestimento si rompe: sulla rete, a livello comportamentale, in tempo reale.

È il centro di gravità dell'AI Traffic Analysis di Zero Hunt. Un modello di deep learning proprietario, addestrato su miliardi di sequenze PCAP, con quattro teste di inferenza parallele — traffico sospetto, classificazione del malware, identificazione del tipo di attacco e fingerprinting applicativo — che gira localmente sulla GPU dell'appliance a un baseline di 2,7+ Gbit/s. Non si chiede se un login fosse autorizzato; si chiede se il comportamento di quella sessione corrisponda a qualcosa che questa rete abbia mai fatto. Un tunnel admin da un ASN mai visto, un'esportazione di configurazione seguita da fan-out SMB e LDAP verso i domain controller — è precisamente il pivot SSL-VPN-verso-Active-Directory che gli operatori FortiBleed eseguono, ed è visibile come pattern di traffico mentre accade, non dopo che i dati sono spariti. Quando la credenziale è valida e il firmware è aggiornato, l'analisi comportamentale a velocità di rete è il testimone che l'istruzione CISA "esaminare i log per i movimenti laterali" richiede davvero.

La seconda metà della risposta è non aspettare di essere attaccati per scoprire di essere esposti. Il pentest generativo a 10 agenti di Zero Hunt include un agente Credential dedicato, e il livello di threat intelligence del motore sincronizza in continuo 21 fonti — tra cui Have I Been Pwned e il corpus di 330+ credenziali di default di SecLists. Una campagna schedulata e change-triggered prova credenziali note-trapelate e di default contro il proprio perimetro in condizioni di assumed breach e dice quali di esse autenticano ancora — prima che lo scopra per te un gruppo di lingua russa con un cluster da 45 GPU. Ogni finding è firmato con ECDSA al momento della scrittura, così quando l'auditor chiede "siete in FortiBleed?" hai una risposta verificabile invece di una percentuale di patch che non era mai la domanda giusta.

FortiBleed non sarà l'ultimo dump di credenziali dell'anno. È un promemoria che "completamente patchato" e "sicuro" hanno smesso di essere sinonimi da molto tempo — e che l'unico luogo in cui un'intrusione con credenziali valide si manifesta è nel traffico che genera. È quella la superficie che vale la pena osservare. Guarda come la piattaforma la osserva.