Ven. Gen 17th, 2025

Fortinet, uno dei principali attori globali nel settore della sicurezza informatica, ha recentemente emesso un advisory dettagliato riguardante una vulnerabilità di gravissima entità identificata come CVE-2023-34990. Questa falla, che ottiene un punteggio CVSS di 9,6 su 10, rappresenta una minaccia rilevante per la sicurezza delle infrastrutture IT. La vulnerabilità si configura come un “relative path traversal” (CWE-23), una tipologia di attacco che consente a un attore malevolo remoto e non autenticato di accedere a file sensibili del sistema target. Secondo le analisi pubblicate nel National Vulnerability Database (NVD), questa falla potrebbe essere sfruttata per eseguire codice arbitrario attraverso richieste web malformate, mirate a bypassare i controlli di sicurezza.

La rilevanza di questa vulnerabilità non risiede solo nel suo punteggio elevato, ma anche nelle implicazioni pratiche che può comportare. Le informazioni accessibili attraverso un exploit ben congegnato includono file di configurazione critici e dati che potrebbero consentire ulteriori attacchi, come l’escalation dei privilegi o l’accesso non autorizzato a dati aziendali sensibili. La potenziale diffusione di attacchi su scala globale rappresenta un rischio per aziende di qualsiasi settore, aumentando l’urgenza di risolvere la questione con tempestività.

Dettagli tecnici e impatti potenziali

La vulnerabilità si manifesta a causa di una gestione inadeguata della validazione dei parametri nelle richieste HTTP inviate a determinati endpoint del sistema, in particolare il percorso /ems/cgi-bin/ezrf_lighttpd.cgi. In assenza di una sanitizzazione efficace, un attaccante potrebbe manipolare il percorso del file utilizzando tecniche di path traversal, ottenendo l’accesso a file critici come i log di sistema, che potrebbero contenere credenziali, ID di sessione o altre informazioni sensibili.

Una caratteristica che accentua la gravità della situazione è l’implementazione statica degli ID di sessione all’interno delle release vulnerabili di FortiWLM. Ciò facilita scenari di hijacking della sessione, consentendo a un malintenzionato di acquisire privilegi amministrativi e compromettere ulteriormente l’integrità del sistema. La situazione diventa ancora più critica se si considera la possibile combinazione di questa vulnerabilità con un’altra falla, CVE-2023-48782, che può essere sfruttata per eseguire comandi con privilegi di root. Questa sinergia tra vulnerabilità rappresenta uno scenario di “attacco a cascata” che amplifica esponenzialmente il danno potenziale.

Versioni interessate

Sono risultate vulnerabili le seguenti release di FortiWLM:

  • Versioni 8.6.0 fino alla 8.6.5 (risolta a partire dalla 8.6.6)
  • Versioni 8.5.0 fino alla 8.5.4 (risolta a partire dalla 8.5.5)

Fortinet ha accreditato Zach Hanley di Horizon3.ai per la scoperta della vulnerabilità, sottolineando il contributo della comunità di ricerca nel miglioramento continuo della sicurezza. Questa collaborazione mette in evidenza l’importanza di partnership tra aziende e ricercatori indipendenti nel contrastare minacce sempre più complesse e rapide nella loro evoluzione.

Analisi del contesto e precedenti storici

Le vulnerabilità di tipo path traversal costituiscono una classe ben documentata nel panorama delle minacce informatiche. Nel 2019, una falla simile in un server web diffuso ha permesso ad attori malevoli di accedere a file di configurazione critici, compromettendo infrastrutture di rilevanza strategica. Gli attacchi che sfruttano tali vulnerabilità si collocano spesso nella fase iniziale delle campagne di intrusion detection evasion, con implicazioni che spaziano dall’esfiltrazione di dati all’esecuzione arbitraria di codice. Un esempio emblematico di ciò è rappresentato dalle campagne di attacco coordinate contro sistemi governativi che, sfruttando falle simili, hanno compromesso interi cluster di server, rendendo inutilizzabili interi segmenti di rete.

Un’analisi di FortiGuard Labs rivela che il tempo medio per l’avvio di attacchi exploit è sceso a meno di cinque giorni dalla divulgazione pubblica di una vulnerabilità, una tendenza che sottolinea la necessità di strategie di patch management tempestive. Questa velocità rappresenta un pericolo crescente per organizzazioni che non dispongono di processi strutturati per l’aggiornamento e la mitigazione dei rischi. Considerando che molte aziende tendono a trascurare gli aggiornamenti per motivi di compatibilità o costi, l’integrazione di approcci proattivi risulta non solo consigliabile, ma imprescindibile.

Raccomandazioni operative

Fortinet raccomanda con urgenza di aggiornare i sistemi FortiWLM alle versioni 8.6.6 o successive e 8.5.5 o successive, eliminando così le vulnerabilità presenti nelle versioni precedenti. Ulteriori misure di mitigazione includono:

  • Implementazione di firewall applicativi web (WAF) per filtrare richieste anomale;
  • Monitoraggio continuo dei log di sistema per rilevare attività sospette;
  • Esecuzione periodica di vulnerability assessment per identificare ulteriori potenziali punti di esposizione.

La proattività nella gestione delle patch e l’adozione di best practice di sicurezza sono essenziali per ridurre la superficie di attacco e garantire la resilienza delle infrastrutture critiche. L’implementazione di sistemi SIEM avanzati potrebbe fornire ulteriore supporto nella correlazione di eventi sospetti, aumentando così la capacità di risposta agli incidenti.

Tabella di riepilogo delle versioni

Versioni vulnerabiliVersioni aggiornate
8.6.0 – 8.6.58.6.6 e successive
8.5.0 – 8.5.48.5.5 e successive

L’urgenza di applicare gli aggiornamenti suggeriti non può essere sottovalutata. La protezione delle reti aziendali dipende in larga misura dall’aggiornamento tempestivo dei sistemi e dall’adozione di misure difensive robuste. La crescente complessità degli attacchi informatici richiede non solo interventi reattivi, ma anche una pianificazione strategica che includa simulazioni di attacco e una formazione costante del personale IT per riconoscere e mitigare le minacce.


Questo articolo scritto da Raffaele DI MARZIO (https://www.linkedin.com/in/raffaeledimarzio/), può essere utilizzato per le analisi AI del podcast prodotto da Cyberium Media Miami per la piattaforma Apple Podcast, e distribuito anche su YouTube, YouTube Music, Amazon Music, Audible, Spotify, iHeartRadio, e Deezer. Il Podcast è una analisi indipendente e trasparente del mondo della cybersecurity, del cyberlegal e delle compliance, ed esplora le riflessioni e contenuti dell’autore attraverso analisi e tecniche di intelligenza artificiale, basate su da Gemini Pro. Tutti i podcast sono disponibili qui: https://technocratico.it/cyberium-podcast/