Na última quarta-feira, a Fortinet informou a detecção do uso recente de uma vulnerabilidade de cinco anos no FortiOS SSL VPN em ataques reais, sob determinadas configurações.
A falha em questão é a
CVE-2020-12812
, com pontuação CVSS 5.2, causada por um problema de autenticação incorreta no SSL VPN do FortiOS.
Essa vulnerabilidade permite que um usuário faça login com sucesso sem passar pela segunda etapa da autenticação, caso o nome de usuário apresente variações na caixa (maiúsculas e minúsculas).
Conforme explicado pela Fortinet em julho de 2020, essa situação ocorre quando a autenticação em dois fatores (2FA) está ativada no modo “user local” e o tipo de autenticação do usuário está configurado para um método remoto, como LDAP.
O problema surge devido à inconsistência na verificação case-sensitive entre a autenticação local e remota.
Desde então, a vulnerabilidade tem sido explorada ativamente por diversos agentes maliciosos.
O governo dos Estados Unidos incluiu essa falha entre as várias vulnerabilidades utilizadas em ataques contra dispositivos de perímetro em 2021.
Em um novo alerta emitido em 24 de dezembro de 2025, a Fortinet detalhou que, para que a
CVE-2020-12812
seja explorada, a seguinte configuração deve estar presente:
- Usuários locais no FortiGate com 2FA habilitado, que fazem referência ao LDAP;
- Esses usuários devem pertencer a um grupo no servidor LDAP;
- Pelo menos um grupo LDAP ao qual esses usuários pertencem precisa estar configurado no FortiGate e utilizado em uma política de autenticação, como para usuários administrativos, SSL ou VPN IPSEC.
Se esses requisitos forem atendidos, a falha permite que usuários LDAP com 2FA habilitado ignorem essa camada de proteção e autentiquem-se diretamente via LDAP.
Isso ocorre porque o FortiGate diferencia maiúsculas e minúsculas nos nomes de usuário, enquanto o diretório LDAP não.
A Fortinet explica: se o usuário fizer login usando variações como ‘Jsmith’, ‘jSmith’ ou qualquer combinação que não corresponda exatamente a ‘jsmith’, o FortiGate não fará a associação com o usuário local e, assim, buscará outras opções de autenticação configuradas, podendo tentar diretamente no LDAP.
Se as credenciais estiverem corretas, o acesso será concedido, independentemente das configurações locais de 2FA ou de contas desabilitadas.
Dessa forma, a vulnerabilidade pode permitir o acesso de administradores ou usuários VPN sem a exigência da autenticação em dois fatores.
Para corrigir essa falha, a Fortinet lançou as versões FortiOS 6.0.10, 6.2.4 e 6.4.1 em julho de 2020.
Quem ainda não atualizou pode usar o comando abaixo para desabilitar a sensibilidade a maiúsculas/minúsculas em todas as contas locais e impedir o bypass na autenticação:
```
set username-case-sensitivity disable
```
Para clientes nas versões 6.0.13, 6.2.10, 6.4.7, 7.0.1 ou superiores, o comando recomendado é:
```
set username-sensitivity disable
```
Com essa configuração, o FortiGate passa a tratar variações do nome de usuário — como ‘jsmith’, ‘JSmith’ ou ‘JSMITH’ — como idênticas, evitando o encaminhamento incorreto da autenticação para grupos LDAP mal configurados.
Outra medida recomendada é remover o grupo LDAP secundário, caso ele não seja necessário.
Isso bloqueia totalmente o vetor de ataque, já que a autenticação via grupo LDAP fica indisponível e usuários cujos nomes não correspondam exatamente aos locais não conseguirão autenticar.
O novo comunicado, porém, não detalha como os ataques têm ocorrido na prática, nem se houve sucesso em algum deles.
A Fortinet recomenda que clientes impactados acionem o suporte e redefinam todas as credenciais caso detectem usuários administrativos ou VPN autenticados sem 2FA.
Publicidade
A Solyd Hunter encontra, valida e entrega os melhores profissionais de Cibersegurança, Red Team, AppSec e Pentest para sua empresa com garantia e agilidade. Clique aqui e contrate com segurança. Saiba mais...