Le autorità statunitensi per la sicurezza informatica tornano a lanciare un doppio allarme che coinvolge alcune delle tecnologie più utilizzate nelle infrastrutture aziendali e governative. Il 18 giugno 2026 la Cybersecurity and Infrastructure Security Agency (Cisa) ha infatti inserito nel catalogo Known Exploited Vulnerabilities (Kev) la vulnerabilità CVE-2026-20253 che interessa Splunk Enterprise, mentre parallelamente ha diffuso un avviso urgente relativo al fenomeno FortiBleed, associato all’esposizione di credenziali appartenenti a circa 74.000 dispositivi Fortinet accessibili da internet. I due eventi evidenziano ancora una volta come gli attori malevoli continuino a combinare sfruttamento di vulnerabilità attivamente utilizzate e utilizzo di credenziali compromesse per ottenere accesso iniziale alle reti aziendali. Da un lato una falla di autenticazione mancante in una piattaforma critica di monitoraggio e analisi dati, dall’altro un vasto archivio di password e account associati a firewall e gateway VPN che potrebbe facilitare campagne di intrusione su larga scala.
Cosa leggere
Cisa inserisce CVE-2026-20253 nel catalogo Kev
L’inserimento della CVE-2026-20253 nel catalogo Kev rappresenta uno dei segnali più importanti che un’organizzazione possa ricevere in termini di gestione del rischio. Cisa aggiunge infatti una vulnerabilità all’elenco soltanto quando esistono prove concrete di sfruttamento attivo in ambienti reali. La falla è classificata come Missing Authentication for Critical Function e interessa Splunk Enterprise, una delle piattaforme più diffuse per la raccolta, l’analisi e la correlazione degli eventi di sicurezza all’interno di ambienti enterprise. Il problema consente a un aggressore di accedere a funzioni critiche senza autenticazione valida, aprendo la strada a operazioni non autorizzate che possono tradursi nella compromissione completa del sistema. Vulnerabilità di questo tipo sono particolarmente pericolose perché eliminano uno dei principali meccanismi di difesa, consentendo agli attaccanti di interagire direttamente con componenti sensibili senza la necessità di credenziali legittime o ulteriori exploit.
Perché la vulnerabilità Splunk rappresenta una priorità assoluta
La presenza di Splunk Enterprise all’interno di infrastrutture aziendali, centri operativi di sicurezza e reti governative amplifica significativamente il rischio associato alla CVE-2026-20253. I sistemi Splunk aggregano infatti enormi quantità di log, eventi e informazioni operative provenienti da server, endpoint, apparati di rete e strumenti di sicurezza. Un accesso non autorizzato a tali piattaforme può fornire agli aggressori una visione privilegiata dell’intera infrastruttura, facilitando attività di ricognizione, movimento laterale e compromissione di ulteriori sistemi. Cisa sottolinea che il catalogo Kev non rappresenta semplicemente una lista di vulnerabilità gravi, ma un insieme di falle che sono già state utilizzate con successo da attori ostili. Per questo motivo le organizzazioni sono invitate a considerare la remediation della CVE-2026-20253 come un’attività prioritaria, verificando contestualmente eventuali segnali di compromissione già avvenuta prima dell’applicazione delle correzioni.
Le direttive federali e l’approccio basato sul rischio
L’inserimento della vulnerabilità nel catalogo Kev attiva specifici obblighi per le agenzie federali civili statunitensi attraverso le direttive Binding Operational Directive 26-04. Queste richiedono la correzione tempestiva delle vulnerabilità note e sfruttate attivamente presenti sugli asset esposti pubblicamente e considerati critici per le operazioni governative.
CVE-2026-20253 Splunk Enterprise Missing Authentication for Critical Function Vulnerability
Tuttavia Cisa evidenzia che l’approccio adottato dalle agenzie federali dovrebbe essere preso come riferimento anche dal settore privato. La gestione delle vulnerabilità non dovrebbe infatti basarsi esclusivamente sui punteggi di gravità teorici ma sul rischio effettivo rappresentato dalla presenza di exploit funzionanti e campagne attive. La CVE-2026-20253 rientra esattamente in questa categoria, poiché combina impatto elevato e sfruttamento documentato in scenari reali.
FortiBleed espone migliaia di credenziali Fortinet
Parallelamente all’aggiornamento del catalogo Kev, Cisa ha diffuso un avviso dedicato a FortiBleed, fenomeno che coinvolge l’esposizione di credenziali associate a circa 74.000 dispositivi Fortinet, principalmente firewall FortiGate e gateway SSL VPN accessibili da internet. Secondo le informazioni pubblicate, il dataset contiene username, indirizzi email e password in chiaro riferite a 73.932 URL collegati a firewall distribuiti su oltre 21.000 domini unici e presenti in 194 Paesi. L’elemento più preoccupante non riguarda soltanto il numero dei dispositivi coinvolti ma la natura delle informazioni trapelate. Le credenziali risultano infatti immediatamente utilizzabili e sono accompagnate da dettagli organizzativi che includono settore industriale, dimensioni aziendali e dati operativi utili per la selezione di obiettivi ad alto valore.
Come è stato scoperto il dataset FortiBleed
La scoperta del dataset è attribuita al ricercatore di sicurezza Volodymyr “Bob” Diachenko, che ha individuato un server contenente una vasta raccolta di credenziali apparentemente valide associate a dispositivi Fortinet. Le verifiche successive condotte da Hudson Rock hanno confermato l’autenticità di parte dei dati e la validità di numerose credenziali contenute nell’archivio. Secondo le analisi disponibili, il dataset deriverebbe da file di configurazione ottenuti da dispositivi Fortinet compromessi. Gli investigatori ritengono che il gruppo responsabile abbia effettuato circa 1,16 miliardi di tentativi di credenziali contro oltre 320.000 dispositivi FortiGate, con l’obiettivo di raccogliere hash e informazioni di autenticazione associate ai servizi SSL VPN. Una parte significativa dei sistemi interessati risulta ancora online, aumentando il rischio di utilizzo immediato delle informazioni esposte.
Gli attori malevoli sfruttano credenziali già compromesse
L’avviso diffuso da Cisa sottolinea che gli aggressori stanno già utilizzando credenziali associate a FortiBleed per tentare accessi non autorizzati a infrastrutture esposte su internet. A differenza di una vulnerabilità tecnica che richiede competenze specifiche o la disponibilità di exploit, un archivio contenente password in chiaro rappresenta una risorsa immediatamente operativa. Gli attori malevoli possono infatti utilizzare le credenziali per autenticarsi direttamente ai dispositivi, ottenere accesso iniziale e successivamente eseguire attività di movimento laterale all’interno delle reti compromesse. Cisa ricorda inoltre che negli ultimi anni sono state monitorate almeno 26 vulnerabilità Fortinet sfruttate attivamente, di cui 13 utilizzate in campagne ransomware. L’aggiunta di credenziali valide a questo scenario aumenta ulteriormente il rischio di compromissioni su larga scala.
Le organizzazioni coinvolte e la portata globale dell’esposizione
La dimensione internazionale del fenomeno emerge chiaramente dall’elenco delle organizzazioni potenzialmente interessate. Secondo le informazioni disponibili, tra le realtà coinvolte figurano grandi aziende multinazionali e operatori di infrastrutture critiche appartenenti a settori strategici come telecomunicazioni, manifattura, energia, sanità e servizi finanziari. Tra i nomi citati compaiono Samsung, Mercedes-Benz, Foxconn, Chevron, Comcast, AT&T e Toyota. I Paesi con il maggior numero di dispositivi esposti includono India, Stati Uniti, Taiwan, Messico, Turchia, Thailandia, Colombia, Malesia, Cile ed Emirati Arabi Uniti, confermando la natura globale della minaccia.
Le misure di mitigazione raccomandate da Cisa
L’agenzia statunitense raccomanda un intervento immediato su tutti i dispositivi FortiGate e sugli ambienti che utilizzano servizi SSL VPN. Le organizzazioni dovrebbero terminare tutte le sessioni attive, procedere alla reimpostazione delle password amministrative e VPN e verificare che le credenziali non siano state riutilizzate su altri sistemi aziendali. Particolare attenzione deve essere dedicata all’adozione dell’algoritmo PBKDF2 per la gestione degli hash amministrativi e alla rimozione di eventuali meccanismi legacy meno robusti. Cisa invita inoltre a controllare attentamente i log dei firewall, dei sistemi di autenticazione e dei Domain Controller alla ricerca di accessi anomali, movimenti laterali, account sospetti o modifiche non autorizzate alla configurazione. L’implementazione di autenticazione multifattore resistente al phishing rappresenta una delle misure più efficaci per ridurre il rischio derivante dall’utilizzo di credenziali compromesse.
Splunk e Fortinet evidenziano la necessità di una difesa proattiva
Le comunicazioni diffuse da Cisa il 18 giugno 2026 mostrano due facce complementari della stessa minaccia. La CVE-2026-20253 dimostra come una vulnerabilità attivamente sfruttata possa trasformare una piattaforma critica come Splunk Enterprise in un punto di accesso privilegiato per gli aggressori. Il caso FortiBleed evidenzia invece come la semplice disponibilità di credenziali valide possa rendere superfluo lo sfruttamento di ulteriori vulnerabilità. In entrambi i casi la risposta efficace richiede una postura di sicurezza proattiva basata su monitoraggio continuo, verifica delle compromissioni pregresse, gestione rigorosa delle credenziali e applicazione tempestiva delle correzioni. Le organizzazioni che utilizzano Splunk Enterprise dovrebbero procedere immediatamente alla verifica della CVE-2026-20253 e alla relativa remediation, mentre gli amministratori di dispositivi Fortinet devono assumere che le credenziali possano essere già state esposte e adottare senza ritardi tutte le misure di hardening raccomandate per ridurre il rischio di accessi non autorizzati e compromissioni future.
Iscriviti alla Newsletter
Non perdere le analisi settimanali: Entra nella Matrice Digitale.
Matrice Digitale partecipa al Programma Affiliazione Amazon EU. In qualità di Affiliato Amazon, ricevo un guadagno dagli acquisti idonei. Questo non influenza i prezzi per te.
