FortiGate sotto attacco: come gli aggressori stanno sfruttando i dispositivi di rete per sottrarre account di servizio
Nel mondo della sicurezza aziendale, il Next-Generation Firewall (NGFW) è spesso visto come la sentinella definitiva: una fortezza digitale progettata per tenere a bada gli intrusi. Tuttavia, una serie di campagne sofisticate sta ribaltando questa logica. Recenti scoperte dei ricercatori di sicurezza di SentinelOne rivelano che gli attori delle minacce utilizzano sempre più i dispositivi FortiGate non come barriere, ma come punti di ingresso per infiltrarsi in reti di alto valore.
Sfruttando vulnerabilità divulgate di recente o utilizzando credenziali amministrative deboli, gli aggressori ottengono l'accesso a questi dispositivi per estrarre file di configurazione sensibili. Questi file sono molto più di semplici schemi tecnici; spesso contengono le "chiavi del regno", incluse le credenziali degli account di servizio e informazioni dettagliate sulla topologia della rete. Questa tendenza ha messo settori come la sanità, la pubblica amministrazione e i fornitori di servizi gestiti (MSP) nel mirino di un attacco digitale coordinato.
Il Gateway come bersaglio
L'ironia di questa campagna risiede nella natura stessa del dispositivo FortiGate. Poiché questi dispositivi si trovano al limite della rete, richiedono permessi significativi per funzionare correttamente. Per gestire l'autenticazione degli utenti e fornire un accesso sicuro, sono frequentemente integrati con l'infrastruttura centrale come Active Directory (AD) e Lightweight Directory Access Protocol (LDAP).
Secondo i ricercatori Alex Delamotte, Stephen Bromfield, Mary Braden Murphy e Amey Patne, questa profonda integrazione è esattamente ciò che li rende bersagli così attraenti. Quando un aggressore compromette un dispositivo FortiGate, non sta solo controllando un firewall; sta potenzialmente ottenendo un punto d'appoggio nell'intero sistema di gestione delle identità dell'organizzazione. Se il firewall ha un account di servizio con privilegi elevati per "leggere" l'albero AD, l'aggressore dispone ora di quegli stessi privilegi.
Estrarre il progetto digitale
L'obiettivo principale di questi recenti attacchi è l'estrazione del file di configurazione del dispositivo. In molte configurazioni legacy o non adeguatamente protette, questi file contengono credenziali per account di servizio con hash o addirittura criptate in modo debole. Una volta che un aggressore possiede il file di configurazione, può lavorare offline per decifrare queste password senza timore di attivare i sistemi di rilevamento delle intrusioni basati sulla rete.
Oltre alle credenziali, i file di configurazione rivelano la "mappa" della rete interna. Dettagliano le strutture VLAN, le zone attendibili e le configurazioni VPN. Per un attore delle minacce, questo equivale ad avere la planimetria del caveau di una banca e il programma di pattugliamento delle guardie prima ancora di mettere piede nell'edificio.
Perché la sanità e gli MSP sono a rischio
Il targeting dei settori sanitario e governativo è una mossa calcolata. Queste organizzazioni gestiscono spesso dati altamente sensibili e operano con requisiti di uptime rigorosi, il che le rende suscettibili alle estorsioni. Tuttavia, l'attenzione verso i Managed Service Provider (MSP) rappresenta una minaccia strategica più ampia.
Gli MSP utilizzano spesso dispositivi FortiGate per gestire le reti di dozzine o addirittura centinaia di clienti diversi. Violando il dispositivo di un singolo MSP, un aggressore può potenzialmente ottenere un accesso "a valle" a tutti i clienti gestiti da quel fornitore. Questo vettore di attacco "uno-a-molti" consente ai criminali informatici di scalare le proprie operazioni con un'efficienza terrificante.
L'anatomia dell'exploit
Sebbene le vulnerabilità specifiche utilizzate possano variare, la metodologia rimane coerente. Gli aggressori seguono tipicamente un processo in tre fasi:
- Accesso iniziale: Sfruttamento di vulnerabilità non patchate (come quelle trovate nei componenti SSL VPN) o utilizzo di attacchi brute-force contro password amministrative deboli.
- Esfiltrazione dei dati: Una volta all'interno dell'interfaccia di gestione, l'aggressore esporta la configurazione del sistema. Questo viene spesso fatto utilizzando strumenti amministrativi integrati per evitare di sollevare sospetti.
- Raccolta delle credenziali: L'aggressore analizza la configurazione alla ricerca dei dettagli degli account di servizio. Questi account vengono poi utilizzati per muoversi lateralmente dal firewall verso l'ambiente dei server interni.
Pensatelo come un sistema di chiavi universali. Il firewall è la porta d'ingresso, ma l'account di servizio che detiene è la chiave maestra che apre ogni altra porta dell'edificio. Una volta che l'aggressore ha la chiave, la porta d'ingresso non ha più importanza.
Difesa pratica: proteggere il perimetro
Per contrastare questa minaccia, le organizzazioni devono abbandonare la mentalità del "configura e dimentica" per quanto riguarda i dispositivi di rete. I team di sicurezza dovrebbero dare priorità alle seguenti azioni per proteggere i propri ambienti FortiGate:
| Azione | Descrizione | Priorità |
|---|---|---|
| Patching immediato | Applicare gli ultimi aggiornamenti firmware per risolvere le CVE note nelle interfacce SSL VPN e di gestione web. | Critica |
| MFA per la gestione | Abilitare l'autenticazione a più fattori per tutti gli accessi amministrativi all'interfaccia utente e alla CLI di FortiGate. | Alta |
| Audit degli account di servizio | Utilizzare il principio del minimo privilegio per gli account di servizio AD/LDAP; assicurarsi che non possano eseguire attività di amministratore di dominio. | Alta |
| Limitare l'accesso alla gestione | Limitare l'accesso all'interfaccia di gestione a indirizzi IP specifici e attendibili (Local-In policies). | Media |
| Crittografia della configurazione | Assicurarsi che i backup della configurazione siano crittografati con una password complessa e univoca. | Media |
| Disabilitare i servizi inutilizzati | Disattivare funzionalità come la SSL VPN se non sono attivamente richieste per le operazioni aziendali. | Alta |
Verso un'architettura Zero-Trust
Questa campagna serve da duro promemoria: nessun singolo dispositivo può essere considerato implicitamente sicuro, nemmeno uno progettato per la sicurezza. La transizione verso un'architettura Zero-Trust (ZTA) è la soluzione a lungo termine più efficace. In un modello Zero-Trust, la rete interna non è considerata una "zona sicura" solo perché un utente ha superato il firewall.
Implementando la micro-segmentazione e la verifica continua dell'identità, le organizzazioni possono garantire che, anche se un account di servizio viene compromesso tramite un exploit del firewall, la capacità dell'aggressore di muoversi lateralmente sia severamente limitata. L'obiettivo è rendere ogni passo dell'aggressore il più difficile e visibile possibile.
Conclusione
Lo sfruttamento dei dispositivi FortiGate rappresenta un'evoluzione sofisticata nel panorama delle minacce. Va oltre la semplice interruzione del servizio e si concentra sul furto silenzioso e metodico delle risorse di identità. Per i professionisti IT e i leader della sicurezza, il messaggio è chiaro: i dispositivi che proteggono la vostra rete sono ora i bersagli primari. Vigilanza, patching rapido e un approccio rigoroso alla gestione delle credenziali non sono più opzionali: sono la base per la sopravvivenza in un ambiente di minacce moderno.
Fonti
- SentinelOne Threat Intelligence Research
- Fortinet Security Advisories and Best Practices
- Cybersecurity & Infrastructure Security Agency (CISA) Alerts on Edge Device Exploitation
- National Institute of Standards and Technology (NIST) Guidelines on Network Gateway Security
Ci vediamo dall'altra parte.
La nostra soluzione di archiviazione e-mail crittografata end-to-end fornisce i mezzi più potenti per lo scambio sicuro dei dati, garantendo la sicurezza e la privacy dei tuoi dati.
/ Creare un account gratuito
