La scorsa settimana Fortinet ha pubblicato la correzione per un bug critico del sistema operativo FortiOS che, se adeguatamente sfruttato, poteva portare all’esecuzione di codice da remoto. Il giorno successivo tale falla era già sfruttata attivamente. Non è un caso isolato, anzi, ormai una successione di eventi come questa è la regola, come evidenziato anche da molti report indipendenti. Segnale che è urgente rivedere le politiche di patch management per raggiungere la resilienza informatica.

L’antefatto

Fortinet ha pubblicato un alert per una falla monitorata con la sigla CVE-2022-48618, a cui è stato associato un punteggio CVSS di 7.8. Uno sfruttamento può consentire agli attaccanti non autenticati di eseguire codice arbitrario da remoto utilizzando richieste HTTP dannose. A seguito della gravità, il vendor ha inviato gli amministratori di rete ad applicare immediatamente la patch a tutte le appliance vulnerabili, o in alternativa a disabilitare la VPN SSL sUi dispositivi per bloccare eventuali tentativi di attacco.

Fortinet non ha volutamente divulgato dettagli per evitare di agevolare i criminali informatici. La statunitense CISA ha subito caldeggiato l’installazione della patch, ricordando che i bug di questo tipo sono frequenti vettori di attacco da parte dei criminali informatici.

Lo sfruttamento

Detto fatto, il giorno successivo la stessa CISA ha confermato che la falla era attivamente sfruttata: un passaggio piuttosto scontato, dato che il problema riguardava appliance diffuse a livello mondiale. F5, Cisco, Citrix, Palo Alto, Fortinet sono alcuni dei fornitori di dispositivi di rete più diffusi, attaccare le loro appliance significa entrare potenzialmente in svariate migliaia di reti, per questo ai criminali informatici interessano tanto.

L’interesse è sia politico che finanziario: i gruppi ransomware sfruttano le falle per un ritorno di cassa, mentre i gruppi sponsorizzati da stati nazionali lo fanno principalmente per motivi di spionaggio. Basti pensare al RAT Coathanger recentemente usato per aprire una backdoor su una rete militare del Ministero della Difesa olandese: spesso prende di mira le appliance di rete Fortigate.

Una difesa proattiva

Difendersi dagli attacchi di questo tipo è possibile. Il da farsi si può riassumere in un solo termine: tempestività. Quella che pretende la CISA da tutte le strutture governative statunitensi, e quello che tutte le aziende dovrebbero fare. Nel caso di appliance di rete o di software con milioni di utenti a livello globale, occorrono soluzioni automatizzate che diano corso alle installazioni delle patch non appena il vendor rende disponibile una correzione di sicurezza. Qualora l’installazione fosse realmente impossibile, meglio ripiegare sul virtual patching. Far finta di nulla non è un’opzione.