Parece inacreditável, mas é a realidade da segurança informática: mais de 10 mil firewalls da Fortinet permanecem expostas online e vulneráveis a uma falha crítica descoberta há cinco anos. A vulnerabilidade em questão permite que atacantes contornem a autenticação de dois fatores (2FA), deixando as redes empresariais escancaradas a intrusões.
A Fortinet lançou as correções para esta falha (identificada como CVE-2020-12812) em julho de 2020, com as versões FortiOS 6.4.1, 6.2.4 e 6.0.10. Na altura, a empresa aconselhou os administradores que não pudessem atualizar imediatamente os sistemas a desativarem a sensibilidade a maiúsculas/minúsculas nos nomes de utilizador para mitigar o risco. No entanto, anos depois, a adesão às correções parece estar longe do ideal.
Uma porta aberta para o cibercrime
Esta vulnerabilidade de autenticação inadequada, classificada com uma gravidade de 9.8 em 10, reside na implementação do SSL VPN da FortiGate. O erro permite que um atacante inicie sessão em firewalls não atualizadas sem que lhe seja solicitado o segundo fator de autenticação (FortiToken), bastando para isso alterar a capitalização das letras no nome de utilizador (por exemplo, escrever "Admin" em vez de "admin").
Na semana passada, a própria Fortinet alertou os clientes de que os piratas informáticos continuam a explorar ativamente a CVE-2020-12812, visando especificamente firewalls com configurações vulneráveis que requerem o LDAP (Lightweight Directory Access Protocol) ativado. Segundo a organização Shadowserver, dedicada à monitorização da segurança na Internet, existem atualmente mais de 10.000 destes dispositivos expostos, com uma grande concentração nos Estados Unidos.
Um histórico de exploração persistente
O problema não é novo para as autoridades. Já em abril de 2021, a CISA e o FBI emitiram alertas sobre grupos de hackers patrocinados por estados que visavam instâncias do FortiOS, utilizando exploits para múltiplas vulnerabilidades, incluindo esta falha específica no 2FA. Sete meses mais tarde, a CISA adicionou a CVE-2020-12812 à sua lista de vulnerabilidades exploradas conhecidas, associando-a a ataques de ransomware e ordenando às agências federais norte-americanas que protegessem os seus sistemas até maio de 2022.
A persistência desta falha insere-se num cenário mais vasto onde as vulnerabilidades da Fortinet são frequentemente alvo de exploração, muitas vezes como "zero-day". Ainda em dezembro de 2025, a Arctic Wolf avisou que agentes de ameaças estavam a abusar de uma falha crítica de autenticação (CVE-2025-59718) para sequestrar contas de administrador. Além disso, em fevereiro de 2025, foi revelado que o grupo chinês Volt Typhoon utilizou falhas no FortiOS para infiltrar uma rede militar do Ministério da Defesa holandês.
A recomendação mantém-se urgente: os administradores de sistemas devem verificar as suas configurações e aplicar as atualizações de segurança pendentes imediatamente, conforme detalhado pela Fortinet.
Nenhum comentário
Seja o primeiro!