86.000 credenziali VPN Fortinet esposte: cosa devono fare ora gli utenti aziendali

Piu di 86.000 credenziali di firewall e gateway VPN Fortinet FortiGate sono state esposte in una campagna di attacco su larga scala che i ricercatori chiamano FortiBleed. Scoperta nel giugno 2026, l'operazione ha prodotto un database verificato contenente piu di 86.644 credenziali di accesso confermate e funzionanti, raccolte da infrastrutture Fortinet accessibili da internet in 194 paesi. La Cybersecurity and Infrastructure Security Agency (CISA) degli Stati Uniti ha emesso un avviso di emergenza il 18 giugno 2026. Per le organizzazioni che si affidano a FortiGate VPN per l'accesso remoto, la finestra di risposta prima che gli aggressori penetrino piu in profondita nelle reti aziendali e ristretta.

Cosa e FortiBleed - e cosa non e

FortiBleed non e una singola vulnerabilita appena scoperta. E una campagna operativa che ha combinato tre metodi di attacco: riutilizzo di credenziali da precedenti violazioni dei dati, cracking di hash SHA-256 utilizzando un cluster di calcolo a 45 GPU e attacchi brute-force su larga scala. I ricercatori che monitorano l'operazione stimano che gli aggressori abbiano effettuato circa 1,16 miliardi di tentativi di credenziali contro 320.777 obiettivi FortiGate accessibili da internet prima di assemblare il set di dati verificato.

Secondo i ricercatori, l'operazione e stata condotta da un gruppo di minacce multi-operatore di lingua russa. La presenza di strumenti di tunneling associati a entita statali - in particolare Chisel e Neo-reGeorg - nell'attivita di sfruttamento correlata suggerisce che il pool di credenziali non viene utilizzato esclusivamente da criminali di basso livello. Anche attori di minacce sofisticati e ben dotati di risorse attingono allo stesso set di dati per condurre intrusioni mirate contro reti governative e infrastrutture critiche.

I dati trapelati, che includono credenziali di amministratore e informazioni di configurazione VPN, circolerebbero in comunita criminali clandestine. Poiche i dispositivi FortiGate fungono da gateway perimetrale per le reti aziendali, le credenziali compromesse danno agli aggressori accesso autenticato ai sistemi interni, senza la necessita di sfruttare ulteriori vulnerabilita una volta all'interno.

Portata: meta di tutti i dispositivi FortiGate accessibili da internet

Ricercatori di sicurezza indipendenti che hanno confrontato il set di dati FortiBleed con i dati Shodan stimano che le credenziali esposte coprano circa il 50 percento di tutti i dispositivi firewall Fortinet attualmente raggiungibili da internet. I 86.644 sistemi interessati sono distribuiti in 194 paesi, incluse reti di agenzie governative, organizzazioni sanitarie, istituti finanziari e operatori di infrastrutture critiche.

Rapporti precedenti di BleepingComputer e Help Net Security avevano collocato il conteggio iniziale a circa 73.000 dispositivi in base all'analisi iniziale del set di dati. La successiva verifica da parte di altri team di sicurezza, incluso l'avviso tecnico di Bitdefender, ha confermato la cifra superiore di oltre 86.000. La discrepanza riflette un lavoro di deduplicazione in corso mentre i ricercatori incrociano piu fonti dei dati in circolazione.

Perche FortiGate VPN e un obiettivo di alto valore

I dispositivi FortiGate sono tra le appliance di sicurezza perimetrale piu ampiamente distribuite negli ambienti aziendali a livello mondiale. Molte organizzazioni li configurano come gateway SSL VPN principale per l'accesso dei dipendenti da remoto, rendendoli intenzionalmente accessibili da internet. Questa accessibilita e operativamente necessaria, ma significa anche che questi dispositivi affrontano la piena forza delle scansioni automatizzate e dei test di credenziali su larga scala.

La combinazione di un'ampia superficie di attacco, la prevalenza di credenziali predefinite o riutilizzate e l'alto valore di cio che si trova dietro un FortiGate compromesso rende l'infrastruttura Fortinet un obiettivo prioritario costante per gli attori di minacce organizzati. FortiBleed non e la prima campagna massiva di compromissione delle credenziali rivolta ai dispositivi Fortinet: una fuga simile all'inizio del 2024 aveva esposto le credenziali di circa 15.000 sistemi FortiGate utilizzando la stessa metodologia di riutilizzo e forza bruta.

Le linee guida di emergenza della CISA

L'avviso CISA del 18 giugno afferma che l'agenzia e a conoscenza di rapporti globali secondo cui attori informatici malevoli hanno preso di mira dispositivi Fortinet accessibili da internet utilizzando credenziali compromesse. L'avviso non attribuisce la campagna a un attore statale specifico, ma le azioni raccomandate indicano un'urgenza coerente con lo sfruttamento attivo.

Le raccomandazioni specifiche della CISA includono: terminare immediatamente tutte le sessioni VPN attive e forzare la ri-autenticazione; reimpostare tutte le credenziali degli amministratori e degli utenti VPN; esaminare i registri di accesso per segnali di accesso non autorizzato, orari di sessione insoliti o account amministratore creati di recente; verificare che le password degli amministratori siano archiviate utilizzando l'algoritmo PBKDF2; abilitare l'autenticazione a piu fattori (MFA) resistente al phishing per tutti gli accessi VPN; e limitare l'accesso all'interfaccia di gestione solo alle reti interne o di gestione dedicate.

Per le organizzazioni che non possono completare tutti i passaggi immediatamente, la CISA da priorita alla terminazione della sessione e alla reimpostazione delle credenziali come azioni iniziali piu critiche, specificamente perche gli aggressori con credenziali valide possono mantenere la persistenza anche se il metodo sottostante di raccolta delle credenziali viene successivamente bloccato.

Cosa significa per la sicurezza VPN in generale

FortiBleed illustra il rischio piu fondamentale nell'architettura VPN perimetrale: una credenziale e il perimetro. A differenza delle vulnerabilita del livello applicativo che richiedono lo sviluppo di exploit tecnici, la compromissione delle credenziali richiede solo di conoscere un nome utente e una password validi. Nessun ciclo di patch, nessuna risposta zero-day, nessuna regola del firewall puo fermare un tentativo di accesso che presenta credenziali legittime.

Questo e l'argomento trainante dietro il passaggio del settore all'architettura Zero Trust, in cui l'accesso autenticato a un gateway VPN non conferisce automaticamente l'accesso alle risorse interne. Secondo i principi Zero Trust, ogni richiesta di accesso alle applicazioni viene verificata in modo indipendente con un'autenticazione forte, indipendentemente dal fatto che la richiesta provenga dall'interno o dall'esterno del perimetro della rete aziendale. FortiBleed e un caso di studio sul perche questo cambiamento architetturale sia importante.

Per le organizzazioni non ancora sulla strada Zero Trust, la risposta pratica immediata e la stessa indipendentemente dall'architettura: MFA su tutti gli accessi VPN, monitoraggio attivo dei registri e un ciclo di reimpostazione delle credenziali che non aspetti una violazione confermata prima di agire.