Fortinet anunció el miércoles que ha visto una «explotación reciente» de una falla de seguridad de cinco años en FortiOS SSL VPN bajo ciertas configuraciones.
La vulnerabilidad en cuestión, CVE-2020-12812 (puntuación CVSS: 5.2), es una vulnerabilidad de autenticación incorrecta en SSL VPN en FortiOS que podría permitir a un usuario iniciar sesión correctamente sin que se le solicite un segundo factor de autenticación si se cambia el caso del nombre de usuario.
«Esto ocurre cuando la autenticación de dos factores está habilitada en la configuración de ‘Usuario local’ y el tipo de autenticación de usuario está configurado en un método de autenticación remota (como LDAP). Este problema ocurre porque la coincidencia entre mayúsculas y minúsculas entre la autenticación local y remota es inconsistente», señaló Fortinet en julio de 2020.
Desde entonces, la vulnerabilidad ha sido explotada activamente por múltiples atacantes, y el gobierno de EE. UU. la ha citado como una de las muchas debilidades utilizadas como arma en ataques dirigidos a dispositivos perimetrales en 2021.
En un nuevo aviso publicado el 24 de diciembre de 2025, Fortinet señaló que las siguientes configuraciones deben estar presentes para activar con éxito CVE-2020-12812:
Entrada de usuario local en FortiGate usando 2FA que hace referencia a LDAP. El mismo usuario debe ser miembro de un grupo en el servidor LDAP. Al menos un grupo LDAP del que el usuario de dos factores es miembro debe configurarse en FortiGate, y ese grupo debe usarse en políticas de autenticación que incluyen usuarios administrativos, SSL, VPN IPSEC, etc.
Si se cumplen estos requisitos previos, esta vulnerabilidad permite a los usuarios de LDAP configurados con 2FA omitir la capa de seguridad y, en su lugar, autenticarse directamente en LDAP. Esto se debe a que los directorios LDAP no distinguen entre mayúsculas y minúsculas, mientras que los nombres de usuario de FortiGate sí lo hacen.
«Si un usuario inicia sesión usando ‘Jsmith’, ‘jSmith’, ‘JSmith’, ‘jsmiTh’ o cualquier cosa cuyo caso no coincida exactamente con ‘jsmith’, FortiGate no relacionará el inicio de sesión con un usuario local», explicó Fortinet. «Esta configuración hace que FortiGate considere otras opciones de autenticación. FortiGate verifica otras políticas de autenticación de firewall configuradas».
«Después de que falla la coincidencia de jsmith, FortiGate encuentra el grupo ‘Auth-Group’ configurado como secundario y encuentra el servidor LDAP desde allí. Si las credenciales son correctas, la autenticación se realizará correctamente independientemente de la configuración en la política de usuario local (2FA y cuentas deshabilitadas).
Como resultado, esta vulnerabilidad podría permitir a los administradores o usuarios de VPN autenticarse sin 2FA. Fortinet lanzó FortiOS 6.0.10, 6.2.4 y 6.4.1 en julio de 2020 para solucionar este comportamiento. Las organizaciones que no cuentan con estas versiones pueden ejecutar los siguientes comandos para todas las cuentas locales para evitar problemas de omisión de autenticación.
Deshabilitar la distinción entre mayúsculas y minúsculas para los nombres de usuario
Se recomienda a los clientes que utilizan las versiones 6.0.13, 6.2.10, 6.4.7, 7.0.1 y posteriores de FortiOS ejecutar el siguiente comando:
Desactivar la confidencialidad del nombre de usuario
«Cuando configura la sensibilidad del nombre de usuario como deshabilitada, FortiGate trata a jsmith, JSmith, JSMITH y todas las combinaciones posibles como iguales, evitando así la conmutación por error a otras configuraciones de grupo LDAP mal configuradas», dijo la compañía.
Como medida de mitigación adicional, puede que valga la pena considerar la eliminación de grupos LDAP secundarios si no son necesarios. Esto elimina toda la cadena de ataque, ya que la autenticación por grupos LDAP no es posible y el usuario no podrá autenticarse si el nombre de usuario no coincide con la entrada local.
Sin embargo, la guía recientemente publicada no aborda específicamente la naturaleza de los ataques que aprovechan esta falla ni si esos incidentes tuvieron éxito. Fortinet también recomienda a los clientes afectados que se comuniquen con su equipo de soporte y restablezcan todas las credenciales si encuentran evidencia de que un administrador o usuario de VPN se está autenticando sin 2FA.
Source link
