Vulnerabilidades con años de antigüedad siguen siendo la puerta de entrada para ataques de vanguardia. Recientemente, se ha detectado que diversos actores de amenazas están explotando activamente un fallo de hace tres años en el software FortIOS SSL VPN de Fortinet para eludir la autenticación de doble factor (2FA).
El foco de atención es la vulnerabilidad CVE-2020-12812, una falla de autenticación inadecuada en el SSL VPN de FortiOS.
La lógica del fallo: El problema radica en cómo FortiGate gestiona la sensibilidad a las mayúsculas en los nombres de usuario en comparación con servicios de directorio externos como LDAP. Mientras que FortiGate es sensible a las mayúsculas (case-sensitive), la mayoría de los directorios LDAP no lo son.
Método de elusión: Si un atacante ingresa un nombre de usuario con una capitalización distinta a la definida localmente (por ejemplo, "JSmith" en lugar de "jsmith"), el firewall puede fallar al aplicar la política de autenticación local y "caer" de nuevo a la autenticación LDAP directa. En este escenario, el sistema permite el acceso exitoso sin solicitar el segundo factor de autenticación (FortiToken).
La explotación exitosa de esta vulnerabilidad permite el acceso no autorizado a interfaces administrativas y servicios VPN, otorgando a los atacantes una entrada directa a la red interna.
Instalación de Backdoors: Los hackers pueden instalar "puertas traseras" en el propio firewall. Esto significa que, aunque la empresa parchee la vulnerabilidad más tarde, el atacante ya tiene una entrada permanente que no depende del fallo original.
Modificación de Logs: Al tener acceso administrativo, pueden alterar o borrar los registros de actividad (logs). Esto hace que la intrusión sea invisible para los equipos de TI tradicionales, permitiendo que el atacante permanezca meses dentro de la red recolectando información estratégica.
Sniffing: Los atacantes pueden capturar credenciales de otros servicios internos, leer correos electrónicos de la alta gerencia y robar secretos comerciales o planes de expansión antes de que alguien note su presencia.
Para neutralizar esta amenaza específica y los ataques derivados, su empresa debe actuar en dos frentes:
Actualización y Parcheo: La medida definitiva es actualizar a las versiones de FortIOS que corrigen el fallo (como la 6.0.10, 6.2.4, 6.4.1 o superiores).
Mitigación de Configuración: Si la actualización inmediata no es posible, se debe deshabilitar la sensibilidad a mayúsculas mediante el comando set username-sensitivity disable (o set username-case-sensitivity disable en versiones anteriores).
Limpieza de Políticas: Eliminar grupos LDAP secundarios innecesarios en las políticas de autenticación para evitar rutas alternativas de acceso que eludan el 2FA.
Revisión de Accesos: Investigar registros para detectar usuarios que hayan autenticado sin 2FA y, ante cualquier sospecha, realizar un reset masivo de credenciales.
M-SOC (Managed Security Operation Center): Para obtener una gestión de riesgos basada en las prioridades del negocio, integrando el contexto de nuevas amenazas y monitoreando actividad anómala 24/7 para detectar el movimiento lateral de un atacante antes del cifrado.
WSC (Widefense Security Compliance): Una plataforma para que las empresas conozcan su nivel de madurez y exposición al riesgo, permitiendo identificar si dispositivos críticos como los firewalls cumplen con las configuraciones de seguridad necesarias.
Servicios de Ciber Resiliencia: Implementar estrategias de ciberdefensa personalizada que aseguren la continuidad del negocio incluso si ocurre una intrusión, enfocándose en proteger los activos críticos.
Gestión de Infraestructura de Ciberseguridad: Delegar la actualización proactiva y el monitoreo de fallas en manos expertas para asegurar que parches críticos (como los de Fortinet) se apliquen de manera oportuna.
https://thehackernews.com/2025/12/fortinet-warns-of-active-exploitation.html
https://nvd.nist.gov/vuln/detail/cve-2020-12812