Los cibercriminales están aprovechando una vulnerabilidad en los dispositivos Fortinet FortiGate que fue parcheada hace más de tres años, específicamente en julio de 2020. Este fallo, identificado como CVE-2020-12812, permite a los atacantes eludir la autenticación en dos pasos (2FA) en los firewalls, facilitando el acceso no autorizado a redes VPN y consolas de administración.
Auditar las configuraciones
El ataque se basa en un desacuerdo en la forma en que los dispositivos FortiGate manejan los nombres de usuario en comparación con los directorios LDAP, como Active Directory. Mientras que FortiGate considera los nombres de usuario sensibles a mayúsculas, la mayoría de los servidores LDAP los tratan sin distinción de caso. Esto significa que un usuario local con 2FA habilitado puede ser engañado si un atacante introduce variaciones en mayúsculas de su nombre de usuario, logrando así evitar el 2FA y acceder mediante credenciales LDAP válidas.
Fortinet, a través de su equipo de respuesta ante incidentes , ha alertado sobre estos ataques en su blog, instando a los administradores a auditar sus configuraciones inmediatamente. Se destaca la importancia de eliminar grupos LDAP para mitigar riesgos y de resetear todas las credenciales relacionadas. La compañía advierte que cualquier validación de LDAP exitosa después de fallos en las coincidencias locales es una señal de compromiso que puede conllevar un incremento en las amenazas de ransomware y movimientos laterales en la red.
A pesar de que se han implementado parches en las versiones de FortiOS 6.0.10, 6.2.4 y 6.4.1, existen dispositivos mal configurados o no actualizados aún en uso, lo que atrae a hackers oportunistas. Fortinet hace un llamado a las empresas para que refuercen sus políticas de privilegio mínimo y realicen auditorías regulares, ya que retardarse puede permitir que los atacantes exploten estas vulnerabilidades para comprometer sus sistemas.