Una campagna di cyber-spionaggio di proporzioni storiche ha silenziosamente svuotato le credenziali di decine di migliaia di firewall Fortinet in tutto il mondo. L’operazione, battezzata FortiBleed dai ricercatori di Hudson Rock, ha compromesso 73.932 URL univoci di dispositivi FortiGate e gateway SSL VPN distribuiti in 194 paesi, con conseguenze documentate che vanno dall’esfiltrazione di documenti riservati presso un contractor NATO turco alla presenza di credenziali funzionanti per colossi come Foxconn, Samsung, Comcast, Siemens, Lenovo, PwC, Accenture e Oracle.
Scoperta e attribuizione
Il dataset è stato inizialmente scoperto dal ricercatore ucraino Volodymyr “Bob” Diachenko, successivamente analizzata in profondità da Hudson Rock tramite il loro portale infostealers.com. La campagna è attribuita a un gruppo cybercriminale di lingua russa, multi-operatore, che ha costruito un’infrastruttura industriale per la compromissione automatizzata di perimetri aziendali. Non si tratta di un attore state-sponsored nel senso classico del termine, ma di un gruppo con capacità operative paragonabili, capace di gestire simultaneamente operazioni su scala globale.
La metodologia: credential stuffing da 1,16 miliardi di tentativi
Il modus operandi del gruppo rivela una sofisticazione che va ben oltre il semplice credential stuffing. Gli attori hanno prima eseguito una scansione sistematica di internet alla ricerca di istanze Fortinet esposte, raccogliendo oltre 320.000 target FortiGate. Contro questi obiettivi hanno eseguito 1,16 miliardi di tentativi di credenziali, attingendo a database storici di leak di credenziali. In parallelo, hanno condotto 2,1 miliardi di tentativi brute-force contro oltre 160.000 server MSSQL.
La chiave tecnica della campagna è l’intercettazione e il cracking degli hash di autenticazione SSL VPN. Quando un client si autentica a un gateway FortiGate via SSL VPN, vengono scambiati hash crittografici. Il gruppo ha costruito un cluster dedicato da 45 GPU gestito tramite Hashtopolis per craccare questi hash offline e recuperare le password in chiaro. Questo approccio trasforma la complessità della password in un fattore irrilevante: una stringa da 20 caratteri con simboli speciali è craccabile esattamente come una password semplice, purché l’hash sia stato intercettato.
La fase post-compromissione: pivot verso Active Directory
Una volta ottenuto l’accesso al gateway VPN, il gruppo ha operato in modo sistematico per approfondire il foothold. Il pattern documentato prevede il pivot diretto verso l’ambiente Active Directory interno, con l’obiettivo di stabilire persistenza a lungo termine nella rete della vittima. Questo approccio è coerente con operazioni di cyber-spionaggio piuttosto che con ransomware o criminalità finanziaria immediata: l’interesse non è monetizzare l’accesso in modo rumoroso, ma mantenerlo il più a lungo possibile.
Il caso più grave documentato da Diachenko riguarda un contractor della difesa turco membro NATO, da cui il gruppo ha esfiltrato con successo documenti classificati di difesa. Sono state inoltre documentate compromissioni complete di network in Giappone, Taiwan, Vietnam e Iraq.
La distribuzione geografica: l’Italia al 15° posto
La campagna ha avuto un impatto globale con una distribuzione geografica che riflette la diffusione di Fortinet come vendor di riferimento per la sicurezza perimetrale. I paesi più colpiti sono India (9.629), USA (6.352), Taiwan (3.637), Messico (3.197) e Turchia (3.032). L’Italia si posiziona al 15° posto con 1.251 dispositivi compromessi, un numero che include inevitabilmente PMI, enti pubblici e infrastrutture critiche, considerata la penetrazione di Fortinet nel mercato italiano.
I settori più colpiti globalmente sono IT Services (1.975 compromissioni), Costruzioni (587), Telecomunicazioni (574), Ingegneria (528) e Industrial Equipment (467). Seguono Financial Services (460) e Government Services (454), confermando che il gruppo non operava una selezione settoriale ma mirava alla massima copertura.
Il problema strutturale: la complessità delle password non basta
FortiBleed mette in crisi uno dei pilastri della security hygiene tradizionale: la complessità delle password. Il dataset mostra un alto volume di password estremamente complesse compromesse con successo. Il motivo è tecnico e fondamentale: quando le credenziali vengono recuperate in chiaro — tramite infostealer che le esfiltrano dal browser della vittima, tramite cracking di hash, o tramite exploit specifici del dispositivo — la complessità della stringa è completamente irrilevante. Un attaccante che dispone del plaintext di una password da 20 caratteri ha lo stesso accesso di chi usa “password123”.
Azioni di mitigazione immediate
- Rotazione forzata delle credenziali: reimpostare immediatamente tutte le password associate alle interfacce VPN e admin Fortinet, indipendentemente dalla loro complessità.
- MFA universale: applicare l’autenticazione multi-fattore a tutti i gateway esterni senza eccezioni. Questo neutralizza il valore delle credenziali sottratte.
- Audit dei log di accesso: analizzare i log di accesso Fortinet alla ricerca di sessioni amministrative inaspettate, login da posizioni anomale o volumi di traffico insoliti.
- Verifica backdoor: verificare la presenza di account nascosti, regole firewall non autorizzate, o configurazioni VPN anomale che potrebbero indicare una persistenza preesistente.
- Monitoraggio credenziali: confrontare le credenziali dei dipendenti e dei vendor di terze parti con database di threat intelligence per identificare quelle già compromesse.
- Verifica esposizione: Ransomfeed ha reso disponibile un portale gratuito su https://ransomfeed.it/?page=fortibleed dove le organizzazioni possono verificare se il proprio dominio è presente nel dataset compromesso.
Contesto: Fortinet e le vulnerabilità sistematiche
FortiBleed non arriva da zero. Negli ultimi anni i dispositivi Fortinet sono stati al centro di numerose campagne di exploitation che sfruttavano vulnerability critiche: CVE-2022-40684 (authentication bypass), CVE-2023-27997 (heap overflow pre-auth nel SSL VPN), CVE-2024-21762 (out-of-bounds write nel SSL VPN), tutte sfruttate attivamente in the wild. La presente campagna sembra però basarsi prevalentemente su credential stuffing da leak storici e cracking di hash piuttosto che su zero-day, il che suggerisce una superficie di attacco strutturalmente diversa e più difficile da mitigare tramite il solo patching.
Indicatori di Compromissione
# Portale di verifica gratuito Randomfeed
https://ransomfeed.it/?page=fortibleed
# Fonte primaria (infostealers.com/Hudson Rock)
FortiBleed: 75,000 Fortinet Firewalls Compromised: Global Enterprises Exposed – Claim Your Ethical Disclosure
# Ricercatore originale
Volodymyr "Bob" Diachenko (@MayhemDayOne)
# Infrastruttura attaccante
- Cluster GPU dedicato: 45 GPU gestite via Hashtopolis
- 1,16 miliardi di tentativi su FortiGate
- 2,1 miliardi di tentativi brute-force su MSSQL
- Target: 320.000+ URL FortiGate, 160.000+ server MSSQL
- Paesi colpiti: 194
- URL unici compromessi: 73.932
- Domini unici compromessi: 21.632Fonte: Hudson Rock / infostealers.com, ricerca di Volodymyr Diachenko. Pubblicato il 17 giugno 2026.