Publicado el por Concienciacion CSIRT-CV

Reactivación de ataques contra CVE-2020-12812 en Fortinet

 

Más de 10.000 firewalls de Fortinet expuestos a una omisión de 2FA explotada activamente

Introducción
       Se ha detectado actividad maliciosa explotando una vulnerabilidad crítica en dispositivos Fortinet FortiGate que permite omitir el segundo factor de autenticación (2FA). Esta vulnerabilidad, identificada como CVE-2020-12812 y corregida en 2020, sigue afectando a más de 10.000 firewalls expuestos públicamente que no han aplicado el parche correspondiente.
 
Análisis 
La vulnerabilidad CVE-2020-12812 afecta a FortiOS SSL VPN cuando la autenticación se realiza mediante LDAP. Permite a un atacante eludir la verificación del segundo factor (FortiToken) si el nombre de usuario es manipulado (por ejemplo, cambiando mayúsculas/minúsculas).
Fortinet publicó actualizaciones de seguridad en julio de 2020 para corregir la falla e instó a desactivar la distinción entre mayúsculas y minúsculas como mitigación temporal.
En las últimas semanas, Fortinet ha confirmado que esta vulnerabilidad sigue siendo activamente explotada en escenarios reales. El grupo Shadowserver detecta actualmente más de 10.000 dispositivos vulnerables en línea, con especial concentración en Estados Unidos.
Esta vulnerabilidad ya fue señalada en 2021 por la CISA y el FBI como parte de campañas de grupos APT patrocinados por estados, y se añadió en su momento al catálogo de vulnerabilidades explotadas conocidas.
 
Vector de ataque
  • Aprovecha la distorsión en el nombre de usuario al autenticarse vía SSL VPN.
  • Si LDAP está activado y el sistema es vulnerable, el atacante consigue acceso sin necesidad de introducir el segundo factor.
     
Impacto potencial
  • Acceso no autorizado a la red corporativa.
  • Secuestro de sesiones administrativas.
  • Persistencia dentro del entorno comprometido.
  • Riesgo de despliegue de malware, ransomware o exfiltración de datos.
Clasificación CVSS: 9.8 – Crítica
 
Recursos Afectados:
Dispositivos FortiGate con FortiOS en las siguientes versiones (sin parchear):
  • FortiOS 6.0.0 a 6.0.9 (corregido en 6.0.10)
  • FortiOS 6.2.0 a 6.2.3 (corregido en 6.2.4)
  • FortiOS 6.4.0 (corregido en 6.4.1)
 
 
Recomendaciones:

  • Aplicar inmediatamente las actualizaciones de seguridad publicadas por Fortinet.

  • Verificar si LDAP está habilitado en las configuraciones SSL VPN y revisar que no haya distorsión en el tratamiento del nombre de usuario.

  • Revisar registros de acceso e indicadores de compromiso.

  • Desactivar temporalmente la autenticación por SSL VPN si no es imprescindible.

 
Referencias: 
  •  
Logo de LangChain
Logo LangChain