Il 17 giugno 2026 è diventato pubblico un insieme di credenziali che non avrebbe dovuto sorprendere nessuno, e ha allarmato tutti. Il ricercatore Volodymyr "Bob" Diachenko ha trovato un server esposto su Internet contenente nomi utente, indirizzi e-mail e password in chiaro per decine di migliaia di firewall Fortinet FortiGate. Kevin Beaumont ha ottenuto l'insieme, lo ha elaborato insieme a Hudson Rock e ha confermato la parte che nessuno voleva sentir confermata: le credenziali erano valide. La campagna è stata battezzata FortiBleed.
Sono i numeri a raccontare la storia. 73.932 URL FortiGate uniche distribuite su 194 paesi, legate a 21.632 domini, ossia, secondo i rilevamenti Shodan, all'incirca la metà di tutti i firewall Fortinet attualmente esposti sull'Internet pubblico. Le organizzazioni coinvolte non sono dilettanti: Foxconn, Samsung, Comcast, Siemens, Lenovo, FedEx, Accenture, Oracle, PwC, oltre ad agenzie governative e operatori di infrastrutture critiche. Almeno quattro organizzazioni sono state compromesse del tutto, in Giappone, Taiwan, Vietnam, Iraq e Turchia, con gli attaccanti che si spostavano da macchina a macchina all'interno della rete. Il caso peggiore riguarda un subappaltatore turco della difesa membro della NATO, da cui sono stati esfiltrati documenti classificati. L'attività è attribuita a un gruppo criminale russofono a più operatori.
L'ironia si scrive da sé. Il firewall, l'unico apparato il cui intero scopo è trattenere gli intrusi sul perimetro, è diventato la porta aperta del perimetro stesso.
Cosa è realmente accaduto, sul piano tecnico
Qui non c'è alcuna vulnerabilità nuova, e questo conta. La raccolta risale a CVE-2022-40684, l'aggiramento dell'autenticazione di FortiOS che Fortinet ha corretto nell'ottobre 2022 e che è stato sfruttato in massa prima che la maggior parte delle organizzazioni applicasse il correttivo. Le credenziali raccolte durante quell'ondata del 2022 circolano da allora in forum criminali privati. FortiBleed è quel patrimonio, rinfrescato: gli operatori hanno intercettato l'autenticazione SSL-VPN, recuperato gli hash delle password e li hanno violati su un cluster di 45 GPU orchestrato con Hashtopolis. Hanno poi rigiocato le password recuperate contro dispositivi attivi, totalizzando 1,16 miliardi di tentativi di accesso contro 320.000 apparati FortiGate e altri 2,1 miliardi in parallelo contro 160.000 server Microsoft SQL, e hanno fatto transitare quelle valide fino all'Active Directory, la directory che governa ogni account Windows dell'organizzazione.
La risposta di Fortinet è tecnicamente corretta e strategicamente fuori bersaglio. L'azienda presenta FortiBleed come dati riciclati da incidenti passati uniti alla forza bruta, non come una falla inedita nei suoi prodotti. È vero. Ma gli apparati sono ancora in linea, e una password riciclata apre una porta reale esattamente per tutto il tempo in cui nessuno la cambia. In un parco esteso, rinnovare ogni credenziale VPN e amministratore non è uno schiocco di dita, ed è proprio per questo che gli attaccanti hanno scommesso che avrebbe ancora funzionato. Avevano ragione.
Quali quadri normativi governano questo caso, e cosa esigono
Non si tratta di una nota tecnica di nicchia; si colloca in pieno all'interno di tre regimi a cui le organizzazioni colpite già rispondono.
Il regolamento europeo sulla resilienza operativa digitale (DORA) vincola le entità finanziarie. Il suo pilastro di gestione del rischio ICT (articoli da 5 a 15) esige un'autenticazione forte e un controllo degli accessi sui punti di ingresso remoti (articolo 9) nonché una capacità di risposta agli incidenti testata e documentata (articolo 11). DORA non accetta "abbiamo corretto la CVE del 2022" come prova di resilienza; chiede se l'esposizione residua sia stata identificata, quantificata e governata. La direttiva sulla sicurezza delle reti e dei sistemi informativi 2 (NIS2) copre una popolazione molto più ampia, che include energia, trasporti, industria manifatturiera, infrastruttura digitale e pubblica amministrazione, e il suo articolo 21 nomina esplicitamente l'autenticazione multifattore, il controllo degli accessi e la gestione degli asset tra le misure di base, con gli organi di direzione personalmente responsabili ai sensi dell'articolo 20. ISO/IEC 27001:2022 formula gli stessi controlli come obblighi dell'Allegato A: A.5.17 (informazioni di autenticazione), A.8.5 (autenticazione sicura), A.5.15 (controllo degli accessi) e A.8.9 (gestione della configurazione). Per il subappaltatore della difesa membro della NATO si applica un quarto strato: obblighi di sicurezza della catena di fornitura della difesa ai sensi dei quali l'esfiltrazione di materiale classificato è un evento segnalabile, di livello sovrano, e non una semplice violazione commerciale.
Quali controlli hanno fallito
Togliete la scala spettacolare del titolo e FortiBleed si riduce a un breve elenco di interruttori lasciati in posizione OFF. L'autenticazione multifattore sull'accesso remoto era assente o incompleta, ed è l'unico controllo che rende inerte una password rubata, quello la cui presenza separa un non evento da una violazione. La rotazione delle credenziali non si è mai attivata dopo la compromissione del 2022, sicché password trapelate quattro anni prima si autenticavano ancora a giugno 2026. L'igiene dei correttivi e della configurazione ha accumulato sulla finestra iniziale di CVE-2022-40684 un ritardo abbastanza lungo perché la raccolta riuscisse. La segmentazione di rete tra la periferia VPN e il cuore Active Directory era sottile o assente, trasformando un singolo apparato compromesso in movimento laterale a livello dell'intero dominio. E sotto tutto questo, la visibilità degli asset ha fatto difetto: le organizzazioni non disponevano di una vista autorevole e aggiornata di quali dei loro apparati FortiGate fossero esposti su Internet, con quale firmware, con quali account e quale postura di autenticazione. Non si può ruotare, segmentare o imporre la MFA su un'esposizione che non si vede.
Cosa avrebbero cambiato gli strumenti di CCI
Nessuno dei quattro controlli precedenti richiedeva una nuova categoria di prodotto. Richiedevano che l'esposizione fosse vista, prezzata e provata in continuo, ed è precisamente la lacuna che gli strumenti di CCI colmano.
EviGen avrebbe risposto all'unica domanda che conta prima che gli attaccanti la ponessero: la MFA è imposta su ogni account SSL-VPN e amministratore, su ogni apparato, proprio adesso? EviGen raccoglie automaticamente quella prova di configurazione sull'intero parco e la confeziona, in funzione del quadro normativo, come l'artefatto previsto dall'articolo 9 di DORA, dall'articolo 21 di NIS2 e da A.8.5 di ISO, generato in continuo anziché ricostruito nel panico. Una lacuna nella copertura MFA diventa un riscontro datato e firmato la settimana in cui si apre, e non una scoperta forense dopo l'esfiltrazione.
NetDiagramer avrebbe disegnato il percorso che gli attaccanti hanno effettivamente percorso. Mappa le zone di firewall e le dipendenze inter-livello a partire dall'inventario vivo, facendo emergere ogni FortiGate esposto su Internet e, soprattutto, l'itinerario dalla periferia SSL-VPN fino al cuore Active Directory. L'adiacenza piatta tra periferia e dominio, che ha reso quattro organizzazioni interamente compromettibili, è esattamente ciò che una topologia generata automaticamente ai sensi dell'articolo 8 di DORA e dell'articolo 21 di NIS2 espone come riscontro anziché come schema autoptico.
cVaR avrebbe trasformato un "vecchie credenziali, probabilmente innocue" in un numero degno di un consiglio di amministrazione. Applicando il metodo FAIR e la simulazione Monte-Carlo sull'inventario degli asset, prezza lo scenario "una credenziale VPN esposta su Internet viene rigiocata e pivota verso l'AD" sotto forma di curva di superamento delle perdite in euro. Un'esposizione residua che si legge come una vaga preoccupazione in un registro dei rischi si legge come valore a rischio condizionale su una dashboard cVaR, e gli euro residui si fanno ruotare là dove le preoccupazioni residue si fanno rinviare.
DORA-MAST ne avrebbe fatto uno scenario testato anziché una sorpresa. Fa giocare la perturbazione, il riutilizzo di credenziali sul perimetro di accesso remoto, contro il modello, calcola l'impatto sulla resilienza e documenta il test ai sensi del programma di test degli articoli da 24 a 31 di DORA, compreso il rischio di concentrazione su terzi insito nello scommettere l'intero perimetro su un solo fornitore di apparati.
Prevedere l'esposizione, prezzarla, provare il controllo, provare la falla. La ferita del 2022 era conoscibile. Le credenziali trapelate erano conoscibili. La lacuna MFA era conoscibile. FortiBleed non ha sfruttato una vulnerabilità nel codice di Fortinet. Ha sfruttato la distanza tra un controllo che un'organizzazione possedeva e un controllo che un'organizzazione poteva provare essere attivo. Colmate quella distanza e la password riciclata non apre più nulla.
Se il vostro dominio è già nella lista: ottenere aiuto in fretta
Gli strumenti precedenti descrivono una postura che un'organizzazione costruisce prima di un incidente. FortiBleed, per molti dei 21.632 domini esposti, non è un rischio futuro ma presente, e la domanda onesta è cosa fare questa settimana. Si applicano due distinte capacità di CCI, e vale la pena essere precisi su quale fa cosa.
La prima è la leadership sotto pressione. Il CISO come servizio di CCI attinge a un bacino di otto o più professionisti certificati CISSP con percorsi deliberatamente non sovrapponibili tra banca, difesa, telecomunicazioni ed energia. Per un'organizzazione che ha appena scoperto le proprie credenziali nell'insieme FortiBleed, la modalità pertinente è la copertura ad interim o a chiamata: un responsabile della sicurezza responsabilizzato che può triagare l'esposizione, informare un consiglio e rispondere alle domande di un regolatore ai sensi dell'articolo 11 (DORA) o dell'articolo 23 (NIS2) mentre il team interno esegue la rotazione. Non verifichiamo là dove dirigiamo, sicché quell'indipendenza è preservata per progettazione.
La seconda è la velocità ingegneristica. Le persone che hanno costruito EviGen, NetDiagramer, cVaR e DORA-MAST non sono un fornitore separato; sono un team interno di ricerca e sviluppo composto da accademici, ricercatori di livello dottorale e ingegneri della sicurezza. Questo conta sul piano operativo, perché la rimediazione di FortiBleed è, su larga scala, un problema di strumentazione: incrociare l'intero parco FortiGate di un'organizzazione con la lista pubblicata dei domini esposti, forzare la rotazione delle credenziali su centinaia di apparati e poi provare che l'autenticazione multifattore è imposta su ogni account rimanente. È esattamente il tipo di strumento di riparazione su misura che quegli stessi ingegneri possono mettere in piedi rapidamente, perché le primitive sottostanti, tra cui l'ingestione dell'inventario, la raccolta di prove di configurazione e la mappatura della topologia, esistono già come prodotti consegnati anziché come presentazioni. L'inquadramento onesto è una capacità, non un cronometro contrattuale: il team che ha industrializzato queste primitive può comporle in uno strumento di rimediazione mirato assai più rapidamente di un team che incontra il problema per la prima volta. Se FortiBleed ha raggiunto il vostro parco, la via più rapida verso una risposta delimitata è parlare con un professionista.
La ferita che non si è mai rimarginata
Il calabrone non cambia; la colonia sì. Le credenziali che i clienti di Fortinet hanno perso nel 2022 non sarebbero mai scadute da sole, perché le password non si cicatrizzano. Ciò che è cambiato, per la metà del parco ancora esposta, è nulla: stessi apparati, stesse password, stesso cammino piatto fino al dominio. Il rimedio è senza gloria e del tutto a portata di mano. Imporre la MFA, ruotare ora, segmentare la periferia dal cuore e mantenere una prova continua che tutte e tre le cose siano vere. Gli attaccanti scommettono che leggerete questo, annuirete e lo rinvierete al trimestre prossimo. Hanno un curriculum di quattro anni che dà loro ragione su questo punto.
Acronyms
| Acronimo | Forma estesa (inglese) | Traduzione italiana |
|---|---|---|
| AD | Active Directory | Active Directory |
| CVE | Common Vulnerabilities and Exposures | Vulnerabilità ed esposizioni comuni |
| CVSS | Common Vulnerability Scoring System | Sistema comune di valutazione delle vulnerabilità |
| DORA | Digital Operational Resilience Act | Regolamento sulla resilienza operativa digitale |
| FAIR | Factor Analysis of Information Risk | Analisi fattoriale del rischio informativo |
| GPU | Graphics Processing Unit | Unità di elaborazione grafica |
| ICT | Information and Communication Technology | Tecnologie dell'informazione e della comunicazione |
| MFA | Multi-Factor Authentication | Autenticazione a più fattori |
| NIS2 | Network and Information Security Directive 2 | Direttiva sulla sicurezza delle reti e dei sistemi informativi 2 |
| SSL-VPN | Secure Sockets Layer Virtual Private Network | Rete privata virtuale Secure Sockets Layer |
References
- Lautier, V. (2026). 75 000 pare-feu Fortinet siphonnes: l'attaque FortiBleed touche la moitie du parc mondial. Korben. https://korben.info/75-000-pare-feu-fortinet-siphonnes-lattaque-fortibleed-touche-la-moitie-du-parc-mondial.html
- The Register (2026). Massive password-stealing attack hits 75K Fortinet firewalls. https://www.theregister.com/cyber-crime/2026/06/17/massive-password-stealing-attack-hits-75k-fortinet-firewalls/
- Help Net Security (2026). 74,000 Fortinet firewall credentials exposed in FortiBleed data leak. https://www.helpnetsecurity.com/2026/06/18/fortinet-fortibleed-data-leak/
- BleepingComputer (2026). FortiBleed leak exposes Fortinet VPN credentials for 73,000 devices. https://www.bleepingcomputer.com/news/security/fortibleed-leak-exposes-fortinet-vpn-credentials-for-73-000-devices/
- CSO Online (2026). FortiBleed campaign exposes 75,000 Fortinet firewalls worldwide. https://www.csoonline.com/article/4186790/fortibleed-campaign-exposes-75000-fortinet-firewalls-worldwide.html
- Security Affairs (2026). FortiBleed: Admin Passwords for 75,000 Fortinet Firewalls. https://securityaffairs.com/193817/hacking/fortibleed-exposes-admin-passwords-for-75000-fortinet-firewalls.html
- CERT-EU (2024). Security Advisory 2024-018: Critical FortiOS SSL-VPN vulnerability (CVE-2024-21762). https://cert.europa.eu/publications/security-advisories/2024-018/
- European Union (2022). Regulation (EU) 2022/2554 (Digital Operational Resilience Act). https://eur-lex.europa.eu/eli/reg/2022/2554/oj
- European Union (2022). Directive (EU) 2022/2555 (NIS2). https://eur-lex.europa.eu/eli/dir/2022/2555/oj