Este miércoles, Fortinet confirmó que ha detectado
«un abuso reciente de una vulnerabilidad de seguridad con cinco años de antigüedad en FortiOS SSL VPN
en determinadas configuraciones»
.

La vulnerabilidad en cuestión es CVE-2020-12812 (CVSS: 5.2), relacionada con una autenticación incorrecta en la SSL VPN de FortiOS que podría
permitir que un usuario inicie sesión correctamente sin requerir el segundo factor de autenticación al cambiar el caso del nombre de usuario.

«Esto se produce cuando se activa la autenticación de dos factores en la configuración ‘usuario local’, y dicho tipo de autenticación se establece a través de un método remoto (por ejemplo, LDAP)»,
indicó Fortinet en julio de 2020.
«El problema radica en una discrepancia entre la coincidencia de mayúsculas y minúsculas en la autenticación local y remota».

Desde entonces, esta vulnerabilidad ha sido objeto de
explotación activa
por parte de
diversos actores maliciosos,

y el gobierno de EE. UU. también la ha incluido entre las debilidades utilizadas en ataques a dispositivos perimetrales en 2021.

En un nuevo aviso emitido el 24 de diciembre de 2025, Fortinet indicó que la
activación exitosa de CVE-2020-12812 requiere la configuración específica:

  • Entradas de usuarios locales en FortiGate con 2FA, referenciando a LDAP
  • Los mismos usuarios deben ser parte de un grupo en el servidor LDAP.
  • Al menos un grupo LDAP, del cual los usuarios de 2FA son miembros, debe estar configurado en FortiGate, y este grupo debe ser utilizado en una política de autenticación que puede incluir usuarios administrativos, SSL o VPN IPSEC.

Si se cumplen estas condiciones previas, la vulnerabilidad permite que los
usuarios de LDAP con 2FA configuren su autenticación directamente en LDAP, eludiendo así la capa de seguridad, ya que
FortiGate trata los nombres de usuario como sensibles a mayúsculas y minúsculas, mientras que el directorio LDAP no.

«Si el usuario inicia sesión con ‘Jsmith’, ‘jSmith’, ‘JSmith’, ‘jsmiTh’ o cualquier variación que NO coincida exactamente con ‘jsmith’,
FortiGate no hará la comparación con el usuario local»
, explicó Fortinet.
«Este ajuste hace que FortiGate considere otras opciones de
autenticación y verificará otras políticas de autenticación configuradas en el firewall»
.

Al no poder encontrar una coincidencia para jsmith, FortiGate localiza el grupo secundario configurado ‘Auth-Group’, conectándose al servidor LDAP, y siempre que las credenciales sean correctas, la autenticación será exitosa, ignorando la configuración del usuario local (2FA y cuentas deshabilitadas).

Como consecuencia, esta vulnerabilidad puede permitir la autenticación de usuarios administradores o VPN sin 2FA. Fortinet lanzó FortiOS 6.0.10, 6.2.4 y 6.4.1 para abordar este comportamiento en julio de 2020 (FG-IR-19-283).

Las organizaciones que no han implementado estas versiones pueden ejecutar el siguiente comando para todas las cuentas locales y evitar el problema de omisión de autenticación:

set username-case-sensitivity disable

Se aconseja a los clientes que utilicen versiones de FortiOS 6.0.13,
6.2.10, 6.4.7, 7.0.1 o posteriores que ejecuten el siguiente comando:

set username-sensitivity disable


«Con la sensibilidad del nombre de usuario deshabilitada, FortiGate considerará idénticos jsmith, JSmith, JSMITH y cualquier combinación posible, evitando así la conmutación a configuraciones de grupo LDAP incorrectas»
, añadió la compañía.

Como mitigación adicional, se recomienda eliminar el grupo LDAP secundario si no es imprescindible, ya que esto elimina el vector de ataque, impidiendo la autenticación a través del grupo LDAP y resultando en un fallo en caso de que el nombre de usuario no coincida con una entrada local.

Sin embargo, la guía recientemente publicada no ofrece detalles específicos sobre la naturaleza de los ataques que explotan la vulnerabilidad o si alguno de ellos tuvo éxito. Fortinet también aconseja a los clientes afectados que se pongan en contacto con su soporte técnico y restablezcan todas las credenciales si encuentran evidencias de que los administradores o usuarios de VPN están autenticados sin 2FA.

Fuente: THN


Con Información de blog.segu-info.com.ar