Raccomandazioni e misure di mitigazione

• Reset/rotazione di tutte le credenziali VPN e amministrative: forzare immediatamente il cambio password per tutti gli account FortiGate (iniziando da quelli privilegiati). Considerare compromesse tutte le credenziali presenti nel leak.
• Abilitare l’MFA** su tutte le connessioni remote:** se non già attiva, è fondamentale imporre l’autenticazione a più fattori per l’accesso VPN e amministrativo. Anche se un attaccante conosce la password, l’MFA può bloccare l’accesso. Preferire metodi robusti (token hardware/app) invece degli SMS.
• Analizzare i log per individuare intrusioni: esaminare immediatamente i log del firewall, della VPN e dei domain controller alla ricerca di attività anomale (accessi da posizioni insolite, tentativi ripetuti, creazione di nuovi account). Questo aiuterà a rilevare eventuali movimenti laterali o modifiche di configurazione eseguite dagli attaccanti.
• Limitare l’esposizione e aggiornare i sistemi: assicurarsi che le interfacce di gestione dei firewall non siano accessibili da Internet (dove possibile) e chiudere eventuali porte non essenziali. Aggiornare FortiOS all’ultima versione che risolve le vulnerabilità note correlate, verificando inoltre che gli account amministrativi abbiano gli hash protetti da algoritmi robusti (PBKDF2) e non con vecchi metodi deboli.
• Approccio “assumi il breach”: trattare questa situazione come se la rete fosse già compromessa. Oltre al reset delle password, valutare threat hunting per scoprire eventuali persistenze (es. account “ghost” creati dagli intrusi) e attivare controlli Zero Trust per segmentare l’accesso interno. Coinvolgere, se necessario, una squadra di incident response per la bonifica completa.