Cosa ci insegna la breccia nei firewall Fortinet

La breccia nei firewall Fortinet

Cynet ha analizzato un dump trovando dati riconducibili a 333 aziende italiane. I dati pubblicati sul Dark Web includono, oltre agli indirizzi IP, anche le configurazioni dei firewall e le credenziali VPN.

Ciò suggerisce che queste informazioni possano spianare la strada ad attacchi futuri e, non di meno, non è da escludere che il gruppo Belsen non se ne sia servito per compiere compromissioni.

L’incursione è probabilmente da addebitare alla vulnerabilità CVE-2022-40684 e questo dimostra che i risultati delle incursioni del cyber crimine possono avere conseguenze a lunga gittata.

La contestualizzazione

I numeri non mentono solo se contestualizzati. Per avere una dimensione più specifica dei danni potenziali sarebbe opportuno sapere – ma non lo sappiamo – in quali mercati operano le aziende interessate dalla falla, con quanti stakeholder hanno rapporti e in quale punto della filiera di competenza sono inserite.

Ciò non toglie che le conseguenze delle violazioni possono impattare:

• Gli accessi non autorizzati ai perimetri aziendali.
• L’esfiltrazione di dati, anche sensibili.
• Violazioni della compliance e della privacy.
• Possibili attacchi futuri.
• Ricadute sulla sicurezza delle VPN.

La cyber security non è (più) questione di botta e risposta immediate, così come non può più essere statica. Gli effetti di una violazione possono manifestarsi anche sul lungo termine e una compromissione è simile a un batterio dormiente che può risvegliarsi alla bisogna.

Misure urgenti

Questi consigli si adattano sempre a qualsiasi azienda, anche a quelle non interessate dalla falla Fortinet. Infatti, con una certa ciclicità, è opportuno:

1. Verificare e aggiornare le configurazioni di rete e le regole dei firewall
2. Adottare sistemi di monitoraggio avanzati capaci di identificare attività sospette
3. Rivedere e aggiornare le procedure di risposta agli incidenti

La politica “Assume Breach”

Assume Breach è un approccio che influenza tanto le decisioni quanto l’operatività della cybersecurity e gli investimenti.

Un principio che impone di limitare la fiducia nei confronti di servizi, identità, endpoint e applicazioni e di ritenerli non sicuri e persino già compromessi.

La politica Assume Breach si sovrappone a quella Zero Trust con la differenza che la prima è per sua natura reattiva mentre la strategia Zero Trust è da considerare proattiva. La prima aiuta a rilevare e a mitigare le violazioni quando sono avvenute, l’altra è incentrata sulla riduzione delle superfici di attacco al fine di prevenire le violazioni.

Cosa insegna la breccia nei firewall Fortinet

Marco Lucchina, Country Manager di Cynet per Italia, Spagna e Portogallo, offre alcuni spunti di riflessione: “L’episodio che ha coinvolto la vulnerabilità del firewall Fortinet è piuttosto singolare e nuovo, motivo per cui merita un’analisi più approfondita.

Un ‘ricercatore’ ha sfruttato questa falla per raccogliere numerose credenziali valide, che sono poi state pubblicate o vendute. In passato, un singolo Threat Actor poteva sfruttare una vulnerabilità per accedere direttamente a un’infrastruttura, ma il rischio di diffusione su larga scala era più limitato. Al massimo, venivano messi in vendita toolkit per sfruttare la falla, ma chi voleva attaccare doveva comunque possedere le competenze e la tecnologia necessarie.

Oggi, invece, il processo è stato disaccoppiato: non è più necessario saper sfruttare la vulnerabilità, perché si possono acquistare direttamente le credenziali già pronte all’uso.

Questo aumenta notevolmente la scalabilità del cybercrime, abbassando la barriera d’ingresso per molti più attori malevoli. Dal punto di vista della difesa, la situazione è più complessa: se un hacker ha credenziali valide, rilevarlo diventa più difficile.

Tecniche come il monitoraggio comportamentale o il conditional access possono aiutare, ma potrebbero non essere sufficienti senza un intervento immediato.

Ecco perché l’intelligence gioca un ruolo cruciale: essere in grado di rilevare in tempo reale che credenziali aziendali sono in vendita consente di mitigare il rischio prima che vengano sfruttate. Ma non è tutto. Infatti, oltre alla difesa contro le minacce attive diventa essenziale anche monitorare continuamente le vulnerabilità della propria infrastruttura, anticipando le potenziali esposizioni per rafforzare la postura di sicurezza complessiva.”

Quando si parla di cybersecurity, le organizzazioni non possono più soltanto adottare una difesa statica. La capacità di anticipare le mosse dei criminal hacker diventa essenziale. Misure e procedure proattive dovrebbero scalzare sempre più quelle meramente reattive le quali, seppure necessarie, non possono più rappresentare le mura portanti del fortino.