I firewall di Palo Alto Networks e Fortinet sono recentemente finiti vittime di ondate di attacchi. Nel caso di Palo Alto Networks, se sfruttata insieme a due falle precedenti, una vulnerabilità permette agli aggressori di ottenere l’accesso root ai sistemi colpiti.

La vulnerabilità CVE-2024-9474 con punteggio CVSS di 6.9, individuata nel software PAN-OS di Palo Alto Networks e corretta nel novembre dello scorso anno, consentiva a un amministratore con accesso all’interfaccia web di gestione di eseguire azioni con privilegi di root sul firewall. Analizzando la patch correttiva, è stato però scoperto un ulteriore bypass dell’autenticazione, che ha portato Palo Alto a rilasciare la scorsa settimana una nuova patch per la vulnerabilità CVE-2025-0108 considerata critica.

Questo problema di controllo degli accessi permetteva a un attaccante non autenticato con accesso alla rete di bypassare l’autenticazione nell’interfaccia web di gestione e di eseguire specifici script PHP, compromettendo l’integrità e la riservatezza del sistema.

Oltre a queste due falle, Palo Alto ha corretto anche la vulnerabilità CVE-2025-0111, che consentiva ad attaccanti autenticati di accedere ai file visibili dall’utente “nobody” sui sistemi PAN-OS. Pochi giorni fa Palo Alto ha aggiornato il proprio avviso di sicurezza relativo alla CVE-2025-0108, confermando che sono stati osservati tentativi di exploit che concatenano le vulnerabilità CVE-2024-9474 e CVE-2025-0111 su interfacce di gestione web PAN-OS non aggiornate e non protette e che potrebbero consentire di ottenere privilegi avanzati e il controllo completo del firewall.

Per il momento, Palo Alto ha confermato che i suoi servizi Cloud NGFW e Prisma Access non sono vulnerabili, ma ha esortato gli utenti ad aggiornare immediatamente i loro sistemi PAN-OS alle ultime versioni disponibili (10.1, 10.2, 11.0, 11.1 e 11.2), poiché il numero di attacchi che sfruttano queste vulnerabilità è in aumento, avvertendo inoltre che i sistemi non patchati rimangono vulnerabili anche se l’accesso è ristretto a indirizzi IP interni.

Alcuni clienti di Palo Alto hanno già ricevuto una patch per risolvere un problema che causava il riavvio dei firewall in determinate condizioni di traffico di rete, mentre un ulteriore fix è attualmente in fase di validazione per una distribuzione più ampia.

fortinet-fortigate-40f-secure-sd

Passando invece a Fortinet, sarebbero più di 300 le aziende italiane vulnerabili a causa di un’esfiltrazione di dati del gruppo hacker Belsen, che ha dichiarato di aver sfruttato la vulnerabilità CVE-2022-40684 per violare i firewall dell’azienda americana. Dall’analisi di Cynet emerge che il 54% dei firewall compromessi è ancora attivo e accessibile online, il che lascia aperta la possibilità di nuovi attacchi. I modelli più colpiti risultano essere i firewall FortiGate 40F e 60F, particolarmente diffusi tra le aziende, ma anche i gateway WLAN, dispositivi spesso utilizzati per la gestione delle reti Wi-Fi aziendali.

Scoperta nel 2022, la CVE-2022-40684 è una grave vulnerabilità di bypass dell’autenticazione con un punteggio CVSS di 9.8 che consentiva agli attaccanti remoti di ottenere accesso amministrativo ai dispositivi Fortinet tramite richieste HTTP o HTTPS appositamente modificate. Le versioni vulnerabili includevano FortiOS (7.0.0–7.0.6 e 7.2.0–7.2.1), FortiProxy (7.0.0–7.0.6 e 7.2.0) e FortiSwitchManager (7.0.0 e 7.2.0).

Sebbene Fortinet abbia rilasciato rapidamente delle patch, molti sistemi non aggiornati sono stati compromessi (si parla di oltre 165.000 firewall FortiGate esposti pubblicamente). Recentemente, il gruppo Belsen ha diffuso sul Dark Web le configurazioni compromesse dei firewall Fortinet, rivelando che numerose organizzazioni erano state attaccate prima di applicare le patch.

I dati trapelati includono regole di firewall dettagliate che potrebbero consentire agli attaccanti di aggirare le difese di rete, credenziali VPN in chiaro, esposizione geografica con i dati suddivisi per paese per facilitare attacchi mirati e indirizzi IP associati alle configurazioni.

Anche se le organizzazioni hanno applicato le patch per la CVE-2022-40684 nel 2022, i dati rubati potrebbero essere ancora utilizzati per attacchi futuri e ciò sottolinea l’importanza di una gestione proattiva delle patch e di un monitoraggio continuo per individuare eventuali Indicatori di Compromissione (IoC). Un’ulteriore tegola sulla testa per le aziende e PA italiane, in questi giorni nel mirino anche degli APT russi per le recenti dichiarazioni del Presidente della Repubblica Sergio Mattarella.

Per ridurre i rischi associati a questa violazione, Cynet consiglia alle organizzazioni di:

  • Cambiare immediatamente le credenziali per tutti i dispositivi Fortinet coinvolti
  • Rivalutare le regole del firewall per identificare possibili vulnerabilità esposte
  • Implementare misure di sicurezza aggiuntive, come restrizioni IP e la disabilitazione delle interfacce amministrative esposte
  • Utilizzare piattaforme di intelligence sulle vulnerabilità per monitorare dati esposti e mitigare i rischi