Parece que algumas vulnerabilidades recusam-se a desaparecer. A Fortinet voltou a alertar os seus clientes de que os piratas informáticos continuam a explorar ativamente uma falha crítica no FortiOS, descoberta há cinco anos, que permite contornar a autenticação de dois fatores (2FA) ao atacar firewalls FortiGate vulneráveis.
Esta falha de segurança de autenticação imprópria, identificada no FortiGate SSL VPN, permite que atacantes iniciem sessão em sistemas não atualizados sem que lhes seja solicitado o segundo fator de autenticação, como o FortiToken. O truque utilizado é surpreendentemente simples: basta alterar a capitalização do nome de utilizador (por exemplo, escrever "User" em vez de "user").
A vulnerabilidade ocorre quando a autenticação de dois fatores está ativada na definição "user local", mas o tipo de autenticação desse utilizador está definido para um método remoto, como o LDAP. Segundo explicou a marca quando lançou a correção inicial em julho de 2020, o problema deve-se a uma inconsistência na correspondência de maiúsculas e minúsculas entre a autenticação local e remota.
O perigo das configurações LDAP
Apesar de a Fortinet ter lançado as versões FortiOS 6.4.1, 6.2.4 e 6.0.10 para resolver este problema há vários anos, e de ter aconselhado os administradores de TI a desligar a sensibilidade a maiúsculas e minúsculas nos nomes de utilizador, os ataques persistem. Na semana passada, a empresa avisou que os atacantes continuam a explorar o CVE-2020-12812, focando-se especificamente em equipamentos com o protocolo LDAP (Lightweight Directory Access Protocol) ativado.
Para que uma organização esteja vulnerável a estes ataques contínuos, é necessário que existam entradas de utilizadores locais no FortiGate que exijam 2FA e estejam ligadas ao LDAP. Além disso, estes utilizadores devem pertencer a um grupo LDAP configurado no dispositivo.
Conforme detalhado no boletim de segurança oficial, parte do que torna esta situação possível é a má configuração de um Grupo LDAP secundário, que é utilizado quando a autenticação LDAP local falha. A Fortinet recomenda que, se um Grupo LDAP secundário não for necessário, este deve ser removido. Se não forem utilizados quaisquer grupos LDAP, a autenticação por essa via não é possível e o utilizador falhará a autenticação se o nome não corresponder a uma entrada local.
Um histórico de exploração ativa
Esta não é a primeira vez que esta falha ganha destaque pelos piores motivos. Em abril de 2021, o FBI e a CISA já tinham alertado que hackers apoiados por estados estavam a atacar instâncias do Fortinet FortiOS utilizando exploits que visavam múltiplas vulnerabilidades, incluindo o abuso deste erro para contornar o 2FA.
Sete meses depois, em novembro de 2021, a CISA adicionou esta falha ao seu catálogo de vulnerabilidades exploradas conhecidas, classificando-a como sendo utilizada em ataques de ransomware e ordenando às agências federais que protegessem os seus sistemas até maio de 2022.
As vulnerabilidades da Fortinet são frequentemente um alvo predileto para ataques, muitas vezes surgindo como falhas de dia zero. A título de exemplo, em novembro, a empresa alertou para um zero-day no FortiWeb (CVE-2025-58034) que estava a ser explorado ativamente, apenas uma semana depois de confirmar que tinha corrigido silenciosamente outro zero-day no mesmo sistema (CVE-2025-64446) que foi abusado em ataques generalizados.
Aplicações TugaTech
Discord do TugaTech
RSS do TugaTech
Speedtest Tugatech
Host TugaTech