Vulnerabilità

Fortinet blocca una zero-day SSO mentre WinRAR resta sotto attacco persistente

di Redazione
scritto da Redazione 0 commenti
winrar fortinet

Fortinet ha confermato e bloccato una zero-day sfruttata attivamente nel servizio FortiCloud SSO, mentre una vulnerabilità di path traversal in WinRAR continua a essere utilizzata da attori statali e finanziari per ottenere persistenza sui sistemi non aggiornati. I due casi, pur tecnicamente diversi, mostrano una convergenza pericolosa: l’automazione degli attacchi e la riduzione della finestra di risposta per le organizzazioni.

Fortinet e la zero-day CVE-2026-24858 in FortiCloud SSO

La vulnerabilità CVE-2026-24858 (CVSS 9.4) è un bypass di autenticazione (CWE-288) che ha colpito FortiCloud SSO, servizio spesso abilitato automaticamente durante la registrazione FortiCare. Gli attaccanti hanno sfruttato un percorso alternativo di autenticazione per accedere a dispositivi altrui registrati al servizio, senza credenziali valide.

L’attività malevola è stata osservata dal 21 gennaio 2026 con creazione automatizzata di account admin locali su FortiGate, nomi ricorrenti come audit, backupadmin o svcadmin, e abilitazione di VPN per la persistenza. Fortinet ha identificato account cloud abusati (ad esempio [email protected]) e IP sospetti tra cui 104.28.244.115 e 104.28.212.114.

La risposta è stata server-side e rapida: SSO disabilitato globalmente il 26 gennaio, riabilitato il 27 con blocchi selettivi per le versioni vulnerabili, account malevoli revocati, e patch rilasciate per i prodotti impattati (FortiOS, FortiAnalyzer; verifiche in corso su FortiManager, FortiWeb, FortiSwitch). Il caso è stato aggiunto al catalogo KEV di CISA, con scadenze di remediation accelerate per le agenzie.

Gli indicatori e i pattern risultano coerenti con precedenti abusi SSO, inclusi segnali simili a CVE-2025-59718 (patchata a dicembre 2025), suggerendo continuità tattica e strumentazione automatizzata in grado di completare l’intrusione in pochi secondi.

Mitigazioni Fortinet: cosa fare subito

Fortinet raccomanda di trattare i dispositivi come potenzialmente compromessi se SSO era attivo nel periodo a rischio. Le azioni prioritarie includono aggiornamento firmware immediato, audit dei log per creazioni admin non autorizzate, rotazione delle credenziali (inclusi LDAP/AD), verifica delle configurazioni VPN, e ripristino da backup puliti se emergono indicatori. È disponibile anche la disabilitazione manuale dell’SSO tramite configurazione globale per ambienti che preferiscono una mitigazione difensiva aggiuntiva.

WinRAR e CVE-2025-8088: path traversal e persistenza via ADS

In parallelo, WinRAR affronta una vulnerabilità ancora sfruttata nel 2026: CVE-2025-8088, un path traversal che consente di scrivere file in directory sensibili durante l’estrazione. Gli attaccanti abusano degli Alternate Data Streams (ADS) per nascondere payload e ottenere persistenza, spesso collocando componenti nello Startup.

La falla è stata sfruttata dal luglio 2025 ed è ampiamente commoditizzata. Secondo analisi di ESET, gruppi statali russi come RomCom e Turla, unità come APT44 e TEMP.Armageddon, attori cinesi (con POISONIVY) e cybercriminali finanziari (con XWorm, AsyncRAT, backdoor via Telegram) hanno integrato l’exploit nelle proprie catene. L’uso di decoy PDF/LNK, HTA, e packer accelera l’infezione e riduce il tasso di fallimento.

WinRAR ha corretto la vulnerabilità nella versione 7.13, che blocca l’uso malevolo degli ADS. Il problema oggi persiste solo dove le versioni restano obsolete, soprattutto in ambienti legacy e postazioni utente.

Impatti globali e lezioni operative

I due casi evidenziano un trend chiaro: bypass d’identità (SSO) e client di largo uso sono bersagli ad alto rendimento. Nel primo, l’accesso privilegiato consente controllo perimetrale; nel secondo, la persistenza silenziosa apre la strada a movimenti laterali e furto dati. La commoditizzazione (vendita underground dell’exploit) riduce ulteriormente la frizione per gli attaccanti.

Raccomandazioni operative trasversali

Per Fortinet: aggiornare, verificare account admin locali, ruotare segreti, limitare superfici SSO non essenziali, e monitorare eventi di login/creazione admin. Per WinRAR: aggiornare a 7.13, bloccare l’esecuzione di archivi non fidati, ispezionare Startup e ADS, e sensibilizzare gli utenti sui decoy. In entrambi i casi, logging centralizzato, monitoraggio continuo e response playbook aggiornati riducono l’impatto.

Domande frequenti su Fortinet CVE-2026-24858 e WinRAR CVE-2025-8088

La zero-day Fortinet colpisce solo FortiCloud SSO?

Sì, l’abuso confermato riguarda FortiCloud SSO. Fortinet ha indicato che SSO SAML diretti non sono impattati, ma raccomanda comunque audit completi.

È necessario disabilitare SSO manualmente sui firewall Fortinet?

Non obbligatorio se si è patchati e protetti dai blocchi server-side; resta una mitigazione difensiva valida in ambienti ad alta esposizione.

Perché WinRAR è ancora un vettore efficace nel 2026?

Per la diffusione di versioni obsolete e la facilità d’uso dell’exploit, amplificata da decoy convincenti e ADS per la persistenza.

Come verificare se un sistema è stato colpito da CVE-2025-8088?

Controllare file inattesi nello Startup, stream ADS su file estratti, LNK/HTA sospetti, e confrontare hash/IOC forniti dai vendor di sicurezza.

Iscriviti a Matrice Digitale

Ricevi le notizie principali direttamente nella tua casella di posta.

Niente spam, disiscriviti quando vuoi.

Potrebbe interessarti anche

Matrice Digitale partecipa al Programma Affiliazione Amazon EU, un programma di affiliazione che consente ai siti di percepire una commissione pubblicitaria pubblicizzando e fornendo link al sito Amazon.it.

La redazione di Matrice Digitale è specializzata in cybersecurity, OSINT, intelligenza artificiale e geopolitica tecnologica. Con inchieste indipendenti e analisi approfondite, raccontiamo come privacy, sorveglianza e innovazione digitale plasmano la società, anticipando i rischi e le sfide ignorate dai media tradizionali.