L’installazione tardiva delle patch sta esponendo diverse aziende a gravissimi problemi di sicurezza. La cronaca di questo nuovo episodio di trascuratezza della cybersecurity è piuttosto semplice: l’11 giugno scorso Fortinet ha rilevato e corretto una falla critica che affliggeva centinaia di migliaia di firewall FortiGate. Tre giorni fa il motore di ricerca Shodan ha rilevato oltre 300.000 firewall FortiGate pubblicamente accessibili in rete e vulnerabili agli attacchi.

C’è poco da recriminare in caso di attacco: il produttore ha fatto tutto quello che era in suo potere per tutelare i clienti; non si può dire lo stesso per chi avrebbe dovuto provvedere all’installazione tempestiva delle patch. Anche perché la vulnerabilità è molto grave: monitorata con la sigla CVE-2023-27997 e associata a un punteggio CVSS di 9.8 su 10, questa falla consente l'esecuzione di codice da remoto a causa di un problema di buffer overflow nel sistema operativo FortiOS.

La falla è sfruttabile e consente a un attaccante non autenticato di eseguire codice da remoto su dispositivi vulnerabili tramite l'interfaccia VPN SSL esposta sul Web. Per evitare problemi è sufficiente installare le versioni aggiornate del firmware FortiOS 6.0.17, 6.2.15, 6.4.13, 7.0.12 e 7.2.5.

Gravi rischi

A operare un controllo sul web per verificare la presenza di sistemi esposti è stata la società di soluzioni di sicurezza Bishop Fox, impiegando il noto motore di ricerca Shodan per scandagliare la rete e individuare dispositivi esposti. Le query hanno rilevato 489.337 dispositivi, di cui 335.900 vulnerabili a Xortigate. 153.414 appliance risultavano aggiornate a una versione sicura di FortiOS.

Se questo dato preoccupa, quello successivo fa rabbrividire: i ricercatori di Bishop Fox hanno anche scoperto che molti dei dispositivi FortiGate connessi non vengono aggiornati da più di otto anni. Alcuni eseguono FortiOS 6, che non è più supportato dallo scorso anno settembre. Va da sé che questi dispositivi siano vulnerabili a una lunga serie di falle critiche di cui gli exploit sono ormai facilmente rintracciabili in rete.