Investigadores de seguridad advierten que una falla antigua en FortiOS SSL VPN está siendo abusada nuevamente, permitiendo a los atacantes eludir las protecciones 2FA simplemente cambiando mayúsculas por minúsculas en el nombre de usuario.
El mundo de la ciberseguridad a menudo nos recuerda que las amenazas “viejas” nunca desaparecen del todo si no se parchean correctamente, los investigadores de Fortinet han observado un resurgimiento en la explotación activa de una vulnerabilidad crítica que data de 2020: CVE-2020-12812.
A pesar de tener cinco años de antigüedad, esta falla sigue presente en configuraciones específicas de dispositivos que no han sido actualizados, demostrando ser una puerta trasera efectiva para ciberdelincuentes y grupos APT.
¿En qué consiste el fallo?
La vulnerabilidad CVE-2020-12812 (con una puntuación CVSS de 5.2) reside en la forma en que FortiOS SSL VPN maneja la autenticación de usuarios. El problema fundamental es una inconsistencia en la sensibilidad a mayúsculas y minúsculas (“case sensitivity”) entre el dispositivo FortiGate y los servidores de autenticación remota (LDAP).
El ataque funciona así:
- El Escenario: La organización tiene activada la autenticación de doble factor (2FA) para usuarios locales, pero estos usuarios también son validados contra un directorio LDAP remoto.
- El Truco: FortiGate trata los nombres de usuario como sensibles a mayúsculas (ej: “JuanPerez” es distinto de “juanperez”), mientras que el LDAP generalmente no lo hace.
- La Evasión: Si un atacante ingresa el nombre de usuario cambiando las mayúsculas (ej: escribiendo “juanperez” en lugar de “JuanPerez”), el sistema FortiGate no logra emparejarlo con la regla de 2FA local. Sin embargo, el servidor LDAP sí lo reconoce y lo valida.
- Resultado: El atacante logra iniciar sesión exitosamente sin que se le solicite el segundo factor de autenticación (token), obteniendo acceso a la VPN.
¿Por qué es relevante ahora?
Aunque Fortinet parcheó este problema en julio de 2020 (versiones FortiOS 6.0.10, 6.2.4 y 6.4.1), la “explotación reciente” indica que muchas organizaciones siguen operando con software obsoleto o configuraciones vulnerables.
Históricamente, este fallo ha sido parte del arsenal de grupos de alto perfil:
- APT vinculados a Irán: Grupos como Cobalt Mirage (APT35/Charming Kitten) lo han usado desde 2021.
- Ransomware: Operadores del ransomware Hive también fueron vistos explotando este fallo en 2022.
- Alertas Globales: El FBI y CISA (EE. UU.) han emitido múltiples alertas sobre su uso activo.
¿Cómo protegerse?
La solución definitiva es actualizar el firmware a las versiones corregidas. Sin embargo, para aquellos que no pueden actualizar de inmediato, existe una mitigación mediante comandos en la consola de administración (CLI) para forzar la insensibilidad a mayúsculas:
Para versiones modernas (6.4.7, 7.0.1 o superiores), se debe aplicar: set username-sensitivity disable
Esta configuración asegura que FortiGate trate todas las variaciones del nombre de usuario como iguales, impidiendo que el sistema recurra a grupos LDAP mal configurados y cerrando la brecha de seguridad.
