Non è la prima volta che Fortinet finisce, suo malgrado, al centro di una tempesta, ma l’entità di questa che la comunità di threat intelligence ha ribattezzato FortiBleed supera i precedenti episodi per scala e impatto geografico.Oltre 73.000 firewall FortiGate compromessi, distribuiti in 194 paesi, con credenziali, configurazioni e dati sensibili riversati in un dump pubblico circolato nei principali forum underground. E la colpa, ancora una volta, è di chi non ha applicato le patch, non ha aggiornato i sistemi o non ha adottato neanche le regole di base di cyber igiene.Cosa è successoL’attacco FortiBleed, infatti, non nasce da una zero-day inedita, ma dall’exploitation sistematica di vulnerabilità già documentate – in particolare legate all’accesso non autenticato alle interfacce di gestione SSL-VPN di FortiOS.Falle note, patch disponibili, eppure migliaia di organizzazioni non avevano ancora aggiornato i propri dispositivi. Il risultato è un’operazione di credential harvesting su scala industriale: chi ha condotto la campagna ha semplicemente mietuto ciò che era rimasto esposto.Il dump contiene indirizzi IP, nomi utente, password in chiaro o debolmente cifrate, certificati e, in alcuni casi, configurazioni complete dei dispositivi. Un arsenale che può essere riutilizzato per accessi non autorizzati, movimenti laterali nelle reti aziendali e, non da ultimo, come punto di ingresso per attacchi ransomware.Una mappa globale della vulnerabilità194 paesi coinvolti significa che nessuna regione è immune. Europa, Nord America, Asia-Pacifico e Medio Oriente figurano tutti nella distribuzione geografica del leak.Tra i settori più colpiti, emergono infrastrutture critiche, enti governativi, istituti finanziari e aziende manifatturiere, esattamente i target più appetibili per i gruppi ransomware che utilizzano accessi VPN compromessi come vettore iniziale.La dimensione dell’incidente riaccende un dibattito mai sopito: quanto tempo passa, in media, tra il rilascio di una patch critica e la sua effettiva applicazione nelle organizzazioni? Nel caso di Fortinet, la risposta che emerge da questo leak è: troppo.Presente anche l’ItaliaTra i dispositivi, cui sono state sottratte le credenziali, sono presenti almeno 457 domini italiani, anche di rilievo come istruzione.it, notariato.it, fastweb.it, staff.aruba.it, lutech.it, tiscali.com e tanti altri. Questi 457 domini hanno esposto in totale 1.251 credenziali.Per chi vuole verificare se la propria organizzazione o quella di un cliente è presente nel dump, il progetto Ransomfeed mette a disposizione uno strumento gratuito per la ricerca e la navigazione all’interno del leak, con tutti i domini esposti indicizzati e consultabili.Ransomfeed è un progetto di threat intelligence open e collaborativo, già noto per il monitoraggio dei siti di data leak dei principali gruppi ransomware. In questo caso, la sua utilità si estende alla verifica proattiva dell’esposizione, offrendo a security team, CISO e ricercatori uno strumento concreto per una risposta tempestiva.Se vengono gestiti dispositivi FortiGate, le priorità sono chiare:Applicare immediatamente le patch disponibili per le CVE correlate all’interfaccia SSL-VPN di FortiOS.Ruotare tutte le credenziali associate ai dispositivi potenzialmente esposti, senza aspettare conferma della compromissione.Controllare i log di accesso per attività anomale nelle ultime settimane.Verificare la propria esposizione tramite lo strumento gratuito di Ransomfeed, consultando il database dei domini presenti nel leak.Disabilitare l’accesso all’interfaccia di gestione da Internet se non strettamente necessario.FortiBleed è l’ennesima dimostrazione che la finestra tra divulgazione pubblica di una vulnerabilità e la sua exploitation massiva si è drasticamente ridotta. In questo ecosistema, il patch management non è più un’attività programmabile su base mensile: è una risposta operativa che si misura in ore.