A Fortinet emitiu um alerta de segurança crítico sobre a exploração ativa de uma vulnerabilidade antiga que permite burlar a autenticação de dois fatores (2FA) em VPNs SSL do FortiOS, colocando em risco ambientes corporativos que ainda utilizam configurações vulneráveis.
Segundo a empresa, ataques reais têm explorado essa falha sob condições específicas de configuração, reacendendo preocupações sobre a segurança de dispositivos de perímetro amplamente utilizados.
O que é a vulnerabilidade CVE-2020-12812?
A vulnerabilidade identificada como CVE-2020-12812 possui pontuação CVSS de 5,2 e está relacionada a um problema de autenticação inadequada no FortiOS SSL VPN.
Ela permite que um usuário ignore o segundo fator de autenticação simplesmente alterando a combinação de letras maiúsculas e minúsculas no nome de usuário durante o login.
Esse comportamento ocorre quando:
- O 2FA está habilitado para usuários locais;
- O método de autenticação do usuário é remoto (como LDAP);
- Existe inconsistência na validação de maiúsculas e minúsculas entre a autenticação local do FortiGate e o diretório LDAP.
A Fortinet já havia documentado esse problema em julho de 2020, mas novas evidências mostram que ele continua sendo explorado ativamente.
Exploração ativa e histórico de ataques
Desde sua divulgação inicial, a CVE-2020-12812 foi explorada por diversos agentes maliciosos. Em 2021, o governo dos Estados Unidos incluiu essa falha em uma lista de vulnerabilidades utilizadas em ataques direcionados a dispositivos de perímetro, reforçando seu impacto real no cenário de ameaças.
Em um novo comunicado publicado em 24 de dezembro de 2025, a Fortinet confirmou que voltou a observar abuso recente da falha em ambientes de produção.
Configurações necessárias para a exploração da falha
De acordo com a Fortinet, a exploração bem-sucedida da vulnerabilidade exige a presença das seguintes configurações no FortiGate:
- Usuários locais com 2FA habilitado, autenticando via LDAP;
- Esses usuários devem ser membros de grupos no servidor LDAP;
- Pelo menos um grupo LDAP deve estar configurado no FortiGate;
- Esse grupo precisa ser utilizado em políticas de autenticação, como:
- Acesso administrativo
- VPN SSL
- VPN IPsec
Quando essas condições são atendidas, o FortiGate pode permitir que o usuário se autentique diretamente no LDAP, ignorando completamente o 2FA configurado localmente.
Como ocorre o bypass de autenticação 2FA
O problema acontece porque:
- O FortiGate diferencia maiúsculas e minúsculas nos nomes de usuário;
- O LDAP não faz essa distinção.
Na prática, se o usuário legítimo for jsmith, um atacante pode tentar logins como:
- JSmith
- jSmith
- JSMITH
- jsmiTh
Como esses nomes não correspondem exatamente ao usuário local, o FortiGate falha na associação com a conta local e tenta outras políticas de autenticação configuradas. Ao encontrar um grupo LDAP secundário válido, a autenticação é realizada sem exigir o segundo fator, mesmo que o 2FA esteja habilitado ou a conta local esteja desativada.
O resultado é grave: administradores e usuários de VPN podem ser autenticados sem 2FA.
Correções e versões afetadas do FortiOS
A Fortinet corrigiu esse comportamento em julho de 2020, lançando as seguintes versões do FortiOS:
- 6.0.10
- 6.2.4
- 6.4.1
Organizações que ainda não atualizaram devem aplicar medidas de mitigação imediatas.
Mitigação recomendada
Para versões mais antigas, é necessário desativar a diferenciação entre maiúsculas e minúsculas no nome de usuário para todas as contas locais.
Clientes que utilizam as versões:
- 6.0.13
- 6.2.10
- 6.4.7
- 7.0.1 ou superiores
devem executar o comando que desativa a sensibilidade do nome de usuário.
Com essa configuração, o FortiGate passa a tratar jsmith, JSmith e JSMITH como o mesmo usuário, impedindo o failover indevido para outros grupos LDAP.
Medidas adicionais de segurança
Como mitigação extra, a Fortinet recomenda:
- Remover grupos LDAP secundários, caso não sejam estritamente necessários;
- Isso elimina completamente a superfície de ataque, pois impede autenticações alternativas via LDAP.
Além disso, se houver qualquer evidência de que usuários administrativos ou de VPN foram autenticados sem 2FA, a empresa orienta:
- Contato imediato com o suporte da Fortinet;
- Redefinição de todas as credenciais afetadas.
Conclusão
A exploração contínua da CVE-2020-12812 reforça um ponto crítico da cibersegurança: vulnerabilidades antigas continuam sendo armas eficazes quando correções não são aplicadas.
Manter o FortiOS atualizado, revisar configurações de autenticação e reduzir dependências desnecessárias de LDAP são passos essenciais para proteger VPNs SSL e impedir o bypass de autenticação de dois fatores.
