Sommario
Nel cuore della sicurezza enterprise, dove firewall e VPN rappresentano il primo baluardo contro le minacce digitali, nuove tecniche sofisticate di attacco stanno emergendo contro i dispositivi Fortinet FortiGate e le soluzioni PAN-OS GlobalProtect di Palo Alto Networks. Queste due realtà, tra le più affidabili nel panorama della cybersecurity infrastrutturale, sono attualmente coinvolte in una duplice emergenza: da una parte, Fortinet deve far fronte a accessi persistenti lasciati da attori malevoli nonostante patch applicate, dall’altra Palo Alto è sotto pressione a causa di attacchi di forza bruta sistemici sui suoi gateway remoti.
Fortinet conferma accesso post-sfruttamento tramite symlink su FortiGate VPN
Fortinet ha recentemente informato i propri clienti di una scoperta allarmante: attori malevoli sarebbero riusciti a mantenere un accesso in sola lettura ai dispositivi VPN FortiGate anche dopo l’applicazione delle patch di sicurezza. La tecnica, documentata in un advisory ufficiale, si basa sull’utilizzo di collegamenti simbolici (symlink) creati in directory normalmente destinate ai file di lingua dell’interfaccia SSL-VPN. Questi collegamenti permettono agli attaccanti di navigare nel file system radice del dispositivo, sfruttando la visibilità dell’interfaccia web.
La scoperta è stata resa nota dopo che Fortinet ha inviato notifiche dirette ai propri clienti con il titolo “Notification of device compromise – FortiGate / FortiOS – Urgent action required”, contrassegnate con etichetta TLP:AMBER+STRICT. Il messaggio chiarisce come l’accesso sia legato a file lasciati da attacchi precedenti sfruttando vulnerabilità note come CVE-2022-42475, CVE-2023-27997 e CVE-2024-21762, tutte già corrette in versioni successive del sistema operativo FortiOS.
Un problema che affonda le radici nel 2023
L’agenzia nazionale francese CERT-FR ha dichiarato che questa tecnica è stata osservata in una vasta campagna di attacchi in Francia sin dai primi mesi del 2023, e che l’uso dei symlink per la persistenza è emerso durante operazioni di risposta a incidenti su larga scala. Questo tipo di attacco elude la rimozione delle backdoor tradizionali perché si basa su modifiche persistenti nel file system che sopravvivono agli aggiornamenti, pur non consentendo l’esecuzione di codice remoto.
Le contromisure consigliate da Fortinet e CISA
In risposta all’emergenza, Fortinet e CISA hanno rilasciato una serie di raccomandazioni urgenti:
- Aggiornamento a FortiOS 7.6.2, 7.4.7, 7.2.11, 7.0.17 o 6.4.16, che rimuovono i file simbolici sfruttati.
- Verifica dettagliata della configurazione dei dispositivi, con particolare attenzione a modifiche anomale nei file di sistema.
- Reset di tutte le credenziali e chiavi di cifratura potenzialmente esposte.
- In alternativa, si consiglia la disattivazione temporanea della funzionalità SSL-VPN qualora non strettamente necessaria.
Il documento tecnico pubblicato da Fortinet fornisce anche un metodo di verifica manuale dei symlink sospetti, oltre a strumenti per l’analisi della configurazione e la protezione da movimenti laterali all’interno della rete aziendale.
Palo Alto Networks sotto attacco: ondata di bruteforce mirata contro GlobalProtect
Parallelamente, Palo Alto Networks ha confermato di aver osservato un numero elevato di tentativi di accesso non autorizzato ai propri gateway GlobalProtect, in un’attività compatibile con attacchi di forza bruta su larga scala. A differenza del caso Fortinet, non si tratta di una vulnerabilità vera e propria, bensì di un abuso delle credenziali deboli o riutilizzate da parte di attori automatizzati.
L’attacco è stato segnalato inizialmente dalla società di threat intelligence GreyNoise, che ha individuato un picco di quasi 24.000 indirizzi IP univoci coinvolti in scansioni e tentativi di login massivo a partire dal 17 marzo 2025, con un progressivo declino a fine mese.
Geografie e target: colpiti Stati Uniti, Regno Unito, Irlanda, Russia e Singapore
La distribuzione geografica degli IP coinvolti mostra una concentrazione significativa in Stati Uniti, Regno Unito, Irlanda, Russia e Singapore, suggerendo una campagna mirata contro organizzazioni strategiche o ad alta densità aziendale. Il pattern temporale e il volume degli attacchi indicano un’azione coordinata, sebbene Palo Alto non abbia ancora attribuito l’attacco a un gruppo specifico.
Palo Alto raccomanda aggiornamento, MFA e politiche restrittive
L’azienda ha rilasciato una serie di linee guida per contenere il rischio:
- Aggiornamento all’ultima versione stabile di PAN-OS per tutti i dispositivi coinvolti.
- Abilitazione obbligatoria dell’autenticazione a più fattori (MFA), sia lato utente sia lato amministrazione.
- Configurazione di policy di accesso rigide, incluse quelle per rilevare e bloccare tentativi di accesso ripetuti.
- Limitazione dell’esposizione dei gateway GlobalProtect a internet, soprattutto per i portali meno monitorati.
La persistente minaccia della post-exploitation
Questi eventi mettono in luce una tendenza preoccupante nel panorama cyber attuale: l’evoluzione delle tecniche di post-exploitation, ovvero la capacità degli attaccanti di mantenere accessi latenti anche in presenza di patch ufficiali. In particolare, la combinazione tra persistenza tramite symlink e attacchi bruteforce da reti di IP globali evidenzia un cambiamento nella strategia dei gruppi offensivi, sempre più orientati al mantenimento silente dell’accesso e alla raccolta di informazioni a lungo termine.
