Nel settembre 2024, Fortinet, una delle principali aziende nel settore della sicurezza informatica, è stata colpita da un attacco che ha portato all’esfiltrazione di 440 GB di dati sensibili. Questo attacco, attribuito a un gruppo di cyber-criminali ucraini, ha messo in luce serie falle nella sicurezza del cloud e ha sollevato importanti questioni sulla protezione delle infrastrutture digitali.
La Dinamica dell’Attacco:
Gli hacker hanno sfruttato diverse falle nella configurazione e gestione della piattaforma cloud Microsoft Azure SharePoint di Fortinet. Queste vulnerabilità sono state sfruttate principalmente in due modi:
- Compromissione delle Credenziali: L’accesso non autorizzato ai sistemi cloud è avvenuto tramite il furto di credenziali amministrative, un problema comune quando i sistemi non utilizzano meccanismi di autenticazione avanzata come l’autenticazione multifattore (MFA). Senza questa protezione aggiuntiva, gli attaccanti possono utilizzare tecniche di phishing o credential stuffing per ottenere accesso ai sistemi.
- Configurazioni Cloud Errate: Le configurazioni errate del server SharePoint hanno permesso l’accesso a file sensibili senza adeguati controlli di accesso. È probabile che le impostazioni predefinite del cloud non siano state adeguatamente revisionate, consentendo l’esposizione di documenti riservati. Gli attaccanti sono stati in grado di sfruttare queste configurazioni per accedere e rubare grandi quantità di dati senza che la violazione venisse immediatamente rilevata.
Vulnerabilità Sfruttate:
Oltre a problemi relativi alla gestione delle credenziali e alla configurazione del cloud, le vulnerabilità critiche che hanno facilitato l’attacco includono:
- Mancanza di Controlli di Accesso Granulari: Fortinet non ha implementato controlli di accesso sufficientemente dettagliati per gestire correttamente chi poteva accedere ai file sensibili. Questo ha permesso agli hacker di accedere a grandi quantità di dati senza restrizioni, una falla comune quando le configurazioni cloud non sono ottimizzate.
- Esposizione di API Non Sicure: Anche se non confermato nel caso specifico di Fortinet, è noto che molti attacchi cloud sfruttano API mal configurate o non protette. Le API esposte possono essere una porta d’ingresso per attaccanti esperti, permettendo loro di manipolare i dati o accedere a sistemi interni.
- Movimento Laterale nel Cloud: Gli attaccanti spesso riescono a spostarsi lateralmente all’interno di reti cloud compromesse, accedendo a più servizi e dati una volta entrati. Questo attacco potrebbe aver sfruttato una debole segmentazione della rete, facilitando la compromissione di più aree del sistema cloud di Fortinet.
Cybercriminali e Strategia di Doppia Estorsione:
Il gruppo di attaccanti ha utilizzato una tattica di doppia estorsione, chiedendo un riscatto in cambio dei dati rubati. Dopo che Fortinet ha rifiutato di pagare, i criminali hanno pubblicato i 440 GB di dati online. Questa strategia, ormai comune nei gruppi ransomware, aumenta la pressione sulle aziende colpite, che devono affrontare sia il furto che la minaccia della pubblicazione dei dati.
La Risposta di Fortinet:
Fortinet ha agito tempestivamente per limitare i danni, rilasciando dichiarazioni pubbliche e avviando indagini interne. È probabile che l’azienda abbia implementato patch e aggiornamenti di sicurezza per correggere le vulnerabilità sfruttate. Tuttavia, questo incidente ha sottolineato l’importanza di una gestione più rigorosa delle configurazioni cloud e delle credenziali di accesso.
Lezioni per la Sicurezza nel Cloud:
Questo attacco a Fortinet dimostra quanto sia cruciale una strategia di sicurezza multilivello per proteggere le infrastrutture cloud. Tra le lezioni chiave:
- Implementazione dell’MFA: L’adozione diffusa di meccanismi di autenticazione a più fattori è essenziale per prevenire il furto di credenziali.
- Audit Regolari delle Configurazioni Cloud: Le configurazioni di default dei sistemi cloud spesso non sono sufficienti per garantire la sicurezza. È necessario eseguire controlli periodici per assicurarsi che tutte le impostazioni siano ottimizzate per minimizzare il rischio di esposizione dei dati.
- Segmentazione della Rete e Controlli di Accesso: Una corretta segmentazione della rete e l’implementazione di controlli di accesso granulare possono impedire il movimento laterale degli attaccanti all’interno dell’ambiente cloud.
Ulteriori informazioni:
L’incidente Fortinet evidenzia la continua lotta tra cybercriminali e aziende nel campo della sicurezza del cloud, dimostrando che anche i leader del settore devono rimanere vigili di fronte alle minacce sempre più sofisticate.