Qilin: campagna ransomware contro Fortinet e due CVE critiche

Il ransomware Qilin sfrutta due vulnerabilità Fortinet: CVE-2024-21762 e CVE-2024-55591. Italia ed Europa nel mirino della campagna.

Quando un’infrastruttura viene violata, si pensa immediatamente che l’attacco sia partito da un malware molto sofisticato. In realtà, questa credenza comune è un errore, poiché, nella maggior parte dei casi, l’entry point è già presente da tempo. Si tratta sempre di una vulnerabilità che qualcuno ha ignorato e, col tempo, trascurato fino a dimenticarsene. Ciò genera il problema principale alla base dell’attacco: sottovalutarne la pericolosità.

Le vulnerabilità CVE-2024-21762 e CVE-2024-55591
Due parole su Qilin
La campagna contro Fortinet
Implicazioni per la sicurezza aziendale

qilin ransomware fortinet cve 2024 image

Le falle nei dispositivi di sicurezza perimetrale sono la principale minaccia del nostro tempo, specialmente in contesti dove i dati sensibili sono amministrati costantemente. Chi le scopre prima degli altri, ha un vantaggio enorme, poiché può usarle per muoversi indisturbato, scavalcare le difese e ottenere accesso a reti interne. Tutto questo aggirando il bersaglio visibile e le protezioni a difesa del perimetro. Sebbene sia una strategia vecchia, risulta sempre attuale.

Questo scenario appena descritto, è quanto accade nel giugno 2025. Il gruppo ransomware Qilin è tornato sulle scene, dando inizio a massicce campagne ransomware che sfruttano due vulnerabilità Fortinet: CVE-2024-21762 e CVE-2024-55591. Entrambe sono note, documentate, ma ancora largamente presenti su sistemi esposti in rete.

Ma come sempre, andiamo con ordine e affrontiamo per gradi l’argomento.

Le vulnerabilità CVE-2024-21762 e CVE-2024-55591

CVE-2024-21762 è una vulnerabilità critica di tipo out-of-bounds write che interessa FortiOS e FortiProxy. Identificata il 9 febbraio 2024, consente a un attaccante remoto non autenticato di eseguire codice arbitrario tramite richieste HTTP appositamente create. Nello specifico, la vulnerabilità risiede nel modulo SSL VPN (sslvpnd), elemento che la rende a dir poco critica.

CVE-2024-55591 è, invece, una vulnerabilità di tipo authentication bypass che colpisce sempre FortiOS e FortiProxy. Questa è stata identificata e divulgata ufficialmente il 14 gennaio 2025. Data la sua natura, un attaccante può sfruttarla a proprio vantaggio attraverso la manipolazione di richieste WebSocket. In tal modo, questi può ottenere privilegi di super amministratore, senza alcuna necessità di autenticarsi.

Cosa accomuna queste due vulnerabilità, oltre all’appartenenza ai dispositivi Fortinet? La scala CVSS 3.1. Infatti, entrambe sono state classificate con un punteggio pari a 9.8 su 10, che indica una criticità quasi massima. Il loro uso combinato rappresenta una minaccia gravissima, perché la prima permette l’accesso iniziale e l’esecuzione di codice, mentre la seconda garantisce il controllo completo del sistema. Considerando che molti dispositivi Fortinet sono esposti pubblicamente per offrire servizi VPN e gestione remota, la mancata applicazione delle patch rende le infrastrutture particolarmente vulnerabili.

Ed è proprio qui che Qilin va a colpire: al cuore delle infrastrutture.

Due parole su Qilin

Qilin, noto anche con il nome di Agenda, è un collettivo cybercriminale di origine russa, che adotta il modello ransomware-as-a-service. Apparso sulle scene nel luglio 2022, il collettivo non ci ha messo molto a distinguersi per via dell’efficienza degli strumenti malevoli che sviluppa. In particolare, il loro ransomware omonimo supporta payload personalizzabili, crittografia selettiva e meccanismi per interrompere processi specifici all’interno della rete.

Come altri collettivi aderenti allo stesso modello, anche Qilin adotta la sempreverde tattica della doppia estorsione. Prima infetta i sistemi bersaglio con il loro ransomware, poi cripta ed esfiltra tutti i dati sensibili e infine minaccia le vittime di rendere pubblico quanto sottratto. Tra il 2022 e il 2024, Qilin ha preso di mira infrastrutture sanitarie, servizi pubblici e aziende ad alta esposizione, con richieste di riscatto che variabili da poche decine a centinaia di migliaia di dollari. I ricavi vengono divisi tra il team centrale e i gruppi che gestiscono gli attacchi sul campo.

Ma la pericolosità del collettivo risiede tutta nel loro ransomware. Questo è infatti capace di adattarsi a ogni scenario operativo, grazie alla sua natura modulare. Ogni variante può essere compilata in base al target, al sistema operativo e alla rete bersaglio. Le campagne sono ben pianificate, con comunicazioni mirate alla vittima e un’infrastruttura di supporto che consente trattative dirette, pagamenti criptati e rilascio dei dati esfiltrati su canali dedicati.

La campagna contro Fortinet

Nel maggio 2024, Qilin ha lanciato una campagna ransomware mirata contro Fortinet, sfruttando le due vulnerabilità precedentemente analizzate. Nonostante i continui allarmi e le richieste di patching, i dispositivi Fortinet esposti su internet sono divenuti degli entry point estremamente validi, specialmente quelli utilizzati per la gestione delle VPN. Il gruppo ha sfruttato attivamente CVE-2024-21762 e CVE-2024-55591 per ottenere accesso iniziale ai sistemi, eseguire codice da remoto e scalare privilegi fino al controllo completo del dispositivo.

Tuttavia, nel giugno 2025, l’attenzione del collettivo è stata rivolta principalmente verso il territorio europeo, con la stragrande maggioranza delle vittime localizzata in Germania e Francia. Le aziende e le infrastrutture coinvolte sono quelle dotate di dispositivi Fortinet non aggiornati o gestiti in modo errato, privi di segmentazione di rete efficace o monitoraggio degli accessi. La catena di attacco prevede spesso il movimento laterale verso server critici interni e la successiva esfiltrazione di dati.

Ad aggravare gli effetti di questa campagna, è la percezione dei firewall come vettori di attacco da parte delle organizzazioni. Infatti, l’esposizione di servizi SSL VPN senza patch rappresenta oggi uno dei principali punti deboli delle infrastrutture IT. Secondo i dati aggiornati al 10 giugno 2025, in Italia si sono registrate due vittime: una nel settore assicurativo e l’altra attiva nei servizi pubblici. Ciò che preoccupa è la presenza nel nostro Paese di ben 3300 dispositivi Fortinet potenzialmente vulnerabili, elemento che rafforza la necessità di dover intervenire tempestivamente per arginare il problema.

Implicazioni per la sicurezza aziendale

La campagna di Qilin dimostra tutta la pericolosità di affidarsi a una percezione errata del perimetro di sicurezza. I dispositivi di rete, spesso visti come elementi passivi o secondari, possono diventare vettori d’ingresso estremamente efficaci, se non sono aggiornati o correttamente configurati. I firewall di Fortinet esposti pubblicamente sono, infatti, stati trasformati in punti di compromissione, quando erano pensati per garantire un accesso sicuro.

Arrivati a questo punto, c’è da dire che ogni organizzazione in possesso di dispositivi a marchio Fortinet dovrebbe rivedere con urgenza il proprio approccio alla gestione delle vulnerabilità. Il patching deve essere continuo, pianificato e verificabile. Ma gli aggiornamenti non sono sufficienti, perché occorre applicare anche una segmentazione interna, restringere l’accesso alle interfacce di amministrazione e disabilitare i servizi esposti se non strettamente necessari. L’assenza di visibilità operativa è un rischio che nessuna rete moderna può permettersi.

Ragionando con ottica più ampia, Qilin ha dimostrato che gli attacchi non sono più rivolti a singoli endpoint e workstation. Adesso si attaccano direttamente le infrastrutture trasversali su cui si fonda l’accessibilità aziendale. La sicurezza perimetrale deve essere trattata con lo stesso rigore della protezione dei dati. Per molte aziende, ciò significa aggiornare non solo i dispositivi, ma anche il modello mentale con cui viene gestita la sicurezza.

Autore articolo
Gli ultimi articoli

Aldo Vernaglione

Classe 1993, ingegnere gestionale e Adobe Certified Professional in Graphic Design & Visual Design. Ho mosso i primi passi nel campo informatico grazie alla passione per i videogiochi, che mi ha portato ad approfondire i motori grafici e la progettazione visiva. Scrivo da quando ero bambino e, con il tempo, la scrittura è diventata parte integrante del mio lavoro nel mondo della comunicazione e della sicurezza informatica.

Cookie	Durata	Descrizione
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.