Reactivación de ataques contra CVE-2020-12812 en Fortinet

Més de 10.000 firewalls de Fortinet exposats a una omissió de 2FA explotada activament

Introducció

       S’ha detectat activitat maliciosa explotant una vulnerabilitat crítica en dispositius Fortinet FortiGate que permet ometre el segon factor d’autenticació (2FA). Esta vulnerabilitat, identificada com CVE-2020-12812 i corregida en 2020, continua afectant més de 10.000 firewalls exposats públicament que no han aplicat el pedaç corresponent.

Anàlisi 

La vulnerabilitat CVE-2020-12812 afecta FortiOS SSL VPN quan l’autenticació es realitza mitjançant LDAP. Permet a un atacant eludir la verificació del segon factor (FortiToken) si el nom d’usuari és manipulat (per exemple, canviant majúscules/minúscules).

Fortinet va publicar actualitzacions de seguretat al juliol de 2020 per a corregir la fallada i va instar a desactivar la distinció entre majúscules i minúscules com a mitigació temporal.

En les últimes setmanes, Fortinet ha confirmat que esta vulnerabilitat continua sent activament explotada en escenaris reals. El grup hadowserver detecta actualment més de 10.000 dispositius vulnerables en línia, amb especial concentració als Estats Units.

Esta vulnerabilitat ja va ser assenyalada en 2021 per la CISA i l’FBI com a part de campanyes de grups APT patrocinats per estats, i es va afegir en el seu moment al catàleg de vulnerabilitats explotades conegudes.

Vector d’atac

• Aprofita la distorsió en el nom d’usuari en autenticar-se via SSL VPN.
• Si LDAP està activat i el sistema és vulnerable, l’atacant aconseguix accés sense necessitat d’introduir el segon factor.

Impacte potencial

• Accés no autoritzat a la xarxa corporativa.
• Segrest de sessions administratives.
• Persistència dins de l’entorn compromés.
• Risc de desplegament de malware, ransomware o exfiltració de dades.

Classificació CVSS: 9.8 – Crítica

Recursos afectats:

Dispositius FortiGate amb FortiOS en les versions següents (sense posar pedaços):

• FortiOS 6.0.0 a 6.0.9 (corregit en 6.0.10)
• FortiOS 6.2.0 a 6.2.3 (corregit en 6.2.4)
• FortiOS 6.4.0 (corregit en 6.4.1)

Recomanacions:

• Aplicar immediatament les actualitzacions de seguretat publicades per Fortinet.
• Verificar si LDAP està habilitat en les configuracions SSL VPN i revisar que no hi haja distorsió en el tractament del nom d’usuari.
• Revisar registres d’accés i indicadors de compromís.
• Desactivar temporalment l’autenticació per SSL VPN si no és imprescindible.

Referències: 

• https://www.bleepingcomputer.com/news/security/over-10-000-fortinet-firewalls-exposed-to-ongoing-2fa-bypass-attacks/
• https://fortiguard.com/psirt/fg-ir-19-283 
• https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=cve-2020-12812