Secondo una ricerca targata Cynet, sarebbero più di 300 le aziende italiane che avrebbero subito o rischiano di subire un cyberattacco causato da firewall vulnerabili. L’indagine di Cynet rivela la portata della recente pubblicazione sul Dark Web di dati sensibili sottratti da più di 15.000 dispositivi protetti da soluzioni Fortinet in tutto il mondo. Tra le informazioni rubate anche credenziali VPN, configurazioni di rete e certificati di sicurezza. Elementi che potrebbero facilitare nuove intrusioni nei sistemi aziendali, con conseguenze ancora più gravi.
Belsen, nome emergente nella comunità hacker
Il gruppo Belsen ha rivendicato l’attacco, dichiarando che l’operazione, legata a quanto sembra alla vulnerabilità CVE-2022-40684, sfruttata per violare i firewall, mira a consolidare il proprio nome emergente nella comunità hacker. I dati sono stati raccolti almeno dall’ottobre 2022, ma sono stati resi pubblici solo nel gennaio 2025. Aumentando così il rischio di utilizzo per attacchi mirati.
Firewall vulnerabili, per Cynet il nostro Paese è tra i più esposti
L’analisi dei dati sottratti ha identificato 333 aziende italiane tra le vittime della compromissione. Questo colloca l’Italia tra i Paesi più colpiti dopo Messico (1.603 aziende), Stati Uniti (679) e Spagna (449). Il report evidenzia una situazione particolarmente preoccupante:
il 54% dei firewall colpiti è ancora online e accessibile, esponendoli a nuovi attacchi.
Il 32% dei firewall vulnerabili ha la console di gestione accessibile via Internet, rendendoli un facile bersaglio per i cybercriminali.
Tra i dispositivi più colpiti i firewall FortiGate 40F e 60F, molto diffusi nelle aziende. Coinvolti anche i gateway WLAN, spesso utilizzati per gestire reti Wi-Fi aziendali.
Bisogna cambiare approccio perché la sicurezza statica non basta più
Questo attacco conferma che le aziende non possono più affidarsi a una sicurezza statica. Gli esperti di Cynet sottolineano l’importanza di un approccio Assume Breach: non si tratta più di domandarsi se un attacco avverrà, ma quando. Perciò è necessario un sistema di difesa dinamico e costantemente aggiornato.
Cosa da fare da parte di chi ha subìto questa violazione
✔ Verificare e aggiornare le configurazioni di rete. Cambiare le credenziali compromesse è solo il primo passo. Occorre anche controllare che nel leak non siano state esposte altre informazioni sensibili, come certificati digitali o configurazioni errate della VPN.
✔ Attivare procedure di risposta agli incidenti (Incident Response). Se un firewall è stato compromesso, bisogna verificare se ci sono stati accessi non autorizzati e risolvere eventuali falle.
✔ Adottare sistemi di monitoraggio avanzati. Grazie alla sua esperienza nel settore, Cynet consiglia strumenti in grado di raccogliere e analizzare i dati di accesso ai firewall per identificare attività sospette e prevenire nuovi attacchi. Un’adeguata cybersecurity-intelligence è oggi essenziale per proteggere il proprio perimetro digitale.
Firewall vulnerabili perciò è necessario anticipare il rischio
Marco Lucchina, Country Manager di Cynet per Italia, Spagna e Portogallo Questi maxi-furti di credenziali non sono semplici violazioni di dati: rappresentano il carburante per attacchi sempre più sofisticati e automatizzati. L’Intelligenza Artificiale sta rivoluzionando il mondo della cybersecurity. Gli hacker sfruttano l’AI per rendere più efficaci tecniche di social engineering, generare exploit automatizzati in tempo reale e perfezionare la classificazione e il commercio dei dati rubati. Per questo, il paradigma della difesa deve cambiare: non si tratta più solo di proteggere i dati, ma di anticipare il rischio…
Non possiamo più limitarci ad analizzare le minacce dopo che si sono manifestate. Dobbiamo sfruttare l’intelligenza artificiale per incrociare i dati di threat intelligence con le vulnerabilità presenti nelle infrastrutture. Riuscendo così a prevedere e neutralizzare un attacco prima che avvenga. La Cyber Threat Intelligence è la chiave per un cambiamento di paradigma: raccogliere dati da ogni fonte possibile, analizzarli in tempo reale e trasformarli in azioni di difesa automatizzate. Solo così possiamo bilanciare il vantaggio che gli hacker hanno acquisito con l’uso dell’AI.
