Il 25 dicembre 2025, Fortinet ha annunciato di aver osservato una vulnerabilità di sicurezza di cinque anni fa nel FortiOS SSL VPN in certe configurazioni. La vulnerabilità in questione è CVE-2020-12812, una vulnerabilità di autenticazione impropria in SSL VPN in FortiOS che potrebbe permettere a un utente di accedere senza essere richiesto il secondo fattore di autenticazione se il caso dell’username era stato modificato.
Configurazione e exploit
La vulnerabilità si verifica quando due-factor authentication è abilitato nell’impostazione ‘user local’ e il tipo di autenticazione dell’utente è impostato su un metodo di autenticazione remoto (ad esempio, LDAP). La vulnerabilità è stata sfruttata da molti attori minacciosi e il governo degli Stati Uniti l’ha elencata come una delle debolezze sfruttate negli attacchi contro dispositivi perimetrali nel 2021. Per sfruttare la vulnerabilità, è necessaria una configurazione specifica, che include l’abilitazione dell’autenticazione a due fattori per gli utenti locali che fanno riferimento a un server LDAP.
Rimedio e mitigazione
Fortinet ha rilasciato le versioni FortiOS 6.0.10, 6.2.4 e 6.4.1 per risolvere il problema nel luglio 2020. Le organizzazioni che non hanno deployato queste versioni possono eseguire un comando per prevenire l’attacco di autenticazione bypass. Inoltre, è consigliabile disabilitare la sensibilità del caso degli username per prevenire la vulnerabilità. Fortinet ha anche consigliato ai clienti di contattare il team di supporto e di reimpostare tutte le credenziali se si rileva che gli utenti admin o VPN sono stati autenticati senza 2FA.