Network Rede Firewall Cdn

10 mil firewalls Fortinet ainda expostos a bypass de MFA

Mais de 10 mil firewalls Fortinet FortiGate seguem expostos ao CVE‑2020‑12812, uma falha de bypass de MFA em portais SSL VPN divulgada há mais de cinco anos e ainda explorada ativamente em 2025. A vulnerabilidade, com score CVSS 7,5 (alto), permite que atacantes contornem o FortiToken apenas alterando a capitalização do nome de usuário em ambientes que combinam usuários locais, LDAP e MFA.

Como funciona o CVE‑2020‑12812

O bug afeta FortiOS 6.4.0, 6.2.0–6.2.3 e 6.0.9 e anteriores, quando há usuários locais com MFA habilitado vinculados a LDAP e grupos LDAP usados em políticas de autenticação para SSL VPN, IPsec ou acesso admin. Devido à diferença de tratamento de maiúsculas/minúsculas entre FortiGate (case‑sensitive) e servidores LDAP/AD (geralmente case‑insensitive), é possível autenticar via LDAP com, por exemplo, “User” em vez de “user” e, assim, entrar sem receber o desafio de segundo fator.

Exposição global mapeada pela Shadowserver

A Shadowserver adicionou o CVE‑2020‑12812 ao seu Vulnerable HTTP Report e passou a varrer portas HTTP expostas em busca de instâncias Fortinet vulneráveis. Os dados mais recentes indicam mais de 10 mil appliances expostos, com destaque para Estados Unidos (~1,3 mil), Tailândia (909), Taiwan (728), Japão (462) e China (462), formando grandes concentrações na América do Norte, Leste Asiático e partes da Europa.

Exploração ativa e impacto em operações

CISA incluiu a falha no catálogo KEV em 2021 após seu uso em campanhas de ransomware, e em dezembro de 2025 a Fortinet publicou um update do caso FG‑IR‑19‑283 detalhando “abuso recente” em campo. Ao pular o MFA em portais VPN, atacantes obtêm acesso remoto direto à rede interna, frequentemente com privilégios elevados, facilitando espionagem, roubo de dados, movimento lateral e eventual implantação de ransomware.

Recomendações da Fortinet

A Fortinet recomenda atualizar imediatamente para FortiOS 6.0.10+, 6.2.4+ ou 6.4.1+ e revisar configurações para evitar os cenários híbridos local+LDAP que habilitam o bypass. Também orienta reduzir a exposição pública de SSL VPN, aplicar princípio de menor privilégio em contas remotas e monitorar logs por tentativas de login com variações de case no mesmo usuário, que podem indicar exploração.

Medidas adicionais com apoio da Shadowserver

Organizações podem assinar gratuitamente os relatórios da Shadowserver para receber alertas personalizados sobre IPs próprios rodando FortiOS vulnerável. Do ponto de vista de governança, o caso reforça a necessidade de ciclos de patching mais rigorosos para appliances de borda, inventário atualizado de firewalls e revisão periódica de políticas de VPN, sob pena de vulnerabilidades antigas continuarem a ser porta de entrada para ataques modernos