Más de 10.000 firewalls Fortinet en todo el mundo siguen siendo vulnerables a CVE-2020-12812, un fallo de omisión de la autenticación multifactor (MFA) revelado hace más de cinco años y medio. Shadowserver añadió recientemente este problema a su Informe Diario de HTTP Vulnerables, destacando la exposición persistente en medio de la explotación activa confirmada por Fortinet a finales de 2025. 

Más de 10,000 firewalls Fortinet en todo el mundo siguen siendo vulnerables a CVE-2020-12812, un fallo de omisión de la autenticación multifactor (MFA) revelado hace más de cinco años y medio. Shadowserver añadió recientemente este problema a su Informe Diario de HTTP Vulnerable, destacando la exposición persistente en medio de la explotación activa confirmada por Fortinet a finales de 2025. CVE-2020-12812 se debe a una autenticación incorrecta en los portales SSL VPN de FortiOS, afectando a las versiones 6.4.0, 6.2.0 a 6.2.3, y 6.0.9 y anteriores. Los atacantes pueden omitir el segundo factor de autenticación, normalmente FortiToken, simplemente modificando las mayúsculas y minúsculas de un nombre de usuario legítimo, como cambiar "user" a "User", durante el inicio de sesión. Esto ocurre debido a una falta de coincidencia en la sensibilidad a mayúsculas y minúsculas: FortiGate trata los nombres de usuario locales como sensibles a mayúsculas y minúsculas, mientras que los servidores LDAP (como Active Directory) a menudo ignoran las mayúsculas y minúsculas, lo que permite la autenticación a través de la pertenencia a un grupo sin solicitar MFA. El fallo tiene una puntuación base CVSS v3.1 de 7.5 (Alto), con accesibilidad de red, baja complejidad y potencial para impactos en la confidencialidad, la integridad y la disponibilidad. Fue añadido al catálogo de Vulnerabilidades Conocidas Explotadas de CISA en 2021 después de que actores de ransomware lo aprovecharan. En diciembre de 2025, Fortinet emitió un aviso PSIRT (actualización FG-IR-19-283) detallando el "abuso reciente" de la vulnerabilidad en la naturaleza, vinculado a configuraciones específicas: usuarios locales de FortiGate con MFA habilitado, enlazados a LDAP, y pertenecientes a grupos LDAP asignados a políticas de autenticación para SSL VPN, IPsec, o acceso de administrador. Los actores de amenazas explotaron esto para obtener acceso no autorizado a la red interna, lo que llevó a Fortinet a instar a comprobaciones y parches inmediatos. Los escaneos de Shadowserver confirman la persistencia del fallo, buscando servicios HTTP vulnerables en puertos expuestos.

We added Fortinet SSL-VPN CVE-2020-12812 to our daily Vulnerable HTTP Report: https://t.co/qxv0Gv6cAK

After 5 1/2 years since being published still over 10K Fortinet firewalls remain unpatched. Vuln actively exploited as recently highlighted by Fortinet: https://t.co/fg62K4cjso pic.twitter.com/PXo4QzWTWo

— The Shadowserver Foundation (@Shadowserver) January 2, 2026

El panel de control de Shadowserver revela más de 10,000 instancias vulnerables a principios de enero de 2026. Estados Unidos lidera con 1,3K firewalls expuestos, seguido de Tailandia (909), Taiwán (728), Japón (462) y China (462). Una visualización de un mapa mundial muestra densos cúmulos en Norteamérica, Asia Oriental y Europa, con una exposición más ligera en África y partes de Sudamérica.

Top Countries	Vulnerable Count
United States	1.3K​
Thailand	909​
Taiwan	728​
Japan	462​
China	462​

Fortinet recomienda actualizar a versiones de FortiOS corregidas (6.0.10+, 6.2.4+, 6.4.1+) y verificar las configuraciones para evitar configuraciones híbridas de MFA local-LDAP. Desactiva la exposición innecesaria de SSL VPN, aplica el principio de mínimo privilegio y supervisa los registros en busca de intentos de inicio de sesión con variantes de mayúsculas y minúsculas. Las organizaciones deben suscribirse a los informes de Shadowserver para obtener alertas personalizadas y ejecutar sus escaneos de HTTP Vulnerable con prontitud. Esta amenaza continua subraya los riesgos que plantean las vulnerabilidades heredadas en los firewalls empresariales, que pueden permitir ransomware o movimiento lateral dentro de las redes comprometidas


Fuentes:
https://cybersecuritynews.com/fortinet-firewalls-exposed/