Más de 10.000 firewalls Fortinet en todo el mundo siguen siendo vulnerables a CVE-2020-12812, un fallo de omisión de la autenticación multifactor (MFA) revelado hace más de cinco años y medio. Shadowserver añadió recientemente este problema a su Informe Diario de HTTP Vulnerables, destacando la exposición persistente en medio de la explotación activa confirmada por Fortinet a finales de 2025.
Más de 10,000 firewalls Fortinet en todo el mundo siguen siendo vulnerables a CVE-2020-12812, un fallo de omisión de la autenticación multifactor (MFA) revelado hace más de cinco años y medio. Shadowserver añadió recientemente este problema a su Informe Diario de HTTP Vulnerable, destacando la exposición persistente en medio de la explotación activa confirmada por Fortinet a finales de 2025. CVE-2020-12812 se debe a una autenticación incorrecta en los portales SSL VPN de FortiOS, afectando a las versiones 6.4.0, 6.2.0 a 6.2.3, y 6.0.9 y anteriores. Los atacantes pueden omitir el segundo factor de autenticación, normalmente FortiToken, simplemente modificando las mayúsculas y minúsculas de un nombre de usuario legítimo, como cambiar "user" a "User", durante el inicio de sesión. Esto ocurre debido a una falta de coincidencia en la sensibilidad a mayúsculas y minúsculas: FortiGate trata los nombres de usuario locales como sensibles a mayúsculas y minúsculas, mientras que los servidores LDAP (como Active Directory) a menudo ignoran las mayúsculas y minúsculas, lo que permite la autenticación a través de la pertenencia a un grupo sin solicitar MFA. El fallo tiene una puntuación base CVSS v3.1 de 7.5 (Alto), con accesibilidad de red, baja complejidad y potencial para impactos en la confidencialidad, la integridad y la disponibilidad. Fue añadido al catálogo de Vulnerabilidades Conocidas Explotadas de CISA en 2021 después de que actores de ransomware lo aprovecharan. En diciembre de 2025, Fortinet emitió un aviso PSIRT (actualización FG-IR-19-283) detallando el "abuso reciente" de la vulnerabilidad en la naturaleza, vinculado a configuraciones específicas: usuarios locales de FortiGate con MFA habilitado, enlazados a LDAP, y pertenecientes a grupos LDAP asignados a políticas de autenticación para SSL VPN, IPsec, o acceso de administrador. Los actores de amenazas explotaron esto para obtener acceso no autorizado a la red interna, lo que llevó a Fortinet a instar a comprobaciones y parches inmediatos. Los escaneos de Shadowserver confirman la persistencia del fallo, buscando servicios HTTP vulnerables en puertos expuestos.
El panel de control de Shadowserver revela más de 10,000 instancias vulnerables a principios de enero de 2026. Estados Unidos lidera con 1,3K firewalls expuestos, seguido de Tailandia (909), Taiwán (728), Japón (462) y China (462). Una visualización de un mapa mundial muestra densos cúmulos en Norteamérica, Asia Oriental y Europa, con una exposición más ligera en África y partes de Sudamérica.We added Fortinet SSL-VPN CVE-2020-12812 to our daily Vulnerable HTTP Report: https://t.co/qxv0Gv6cAK
— The Shadowserver Foundation (@Shadowserver) January 2, 2026
After 5 1/2 years since being published still over 10K Fortinet firewalls remain unpatched. Vuln actively exploited as recently highlighted by Fortinet: https://t.co/fg62K4cjso pic.twitter.com/PXo4QzWTWo
| Top Countries | Vulnerable Count |
|---|---|
| United States | 1.3K |
| Thailand | 909 |
| Taiwan | 728 |
| Japan | 462 |
| China | 462 |
Fuentes:
https://cybersecuritynews.com/fortinet-firewalls-exposed/
No hay comentarios:
Publicar un comentario