Over 10K Fortinet firewalls exposed to actively exploited 2FA bypass

Plus de 10 000 pare-feux Fortinet toujours exposés à une faille d’authentification critique

Plus de 10 000 pare-feux Fortinet restent connectés à Internet et vulnérables à des attaques exploitant une faille de contournement de l’authentification à deux facteurs (2FA) datant de 2020.

Points clés:

• Une vulnérabilité critique (CVE-2020-12812) permet à des attaquants de contourner la 2FA sur les pare-feux Fortinet non corrigés en modifiant la casse du nom d’utilisateur lors de la connexion SSL VPN.
• Cette faille, d’une gravité de 9,8/10, est particulièrement exploitée sur les configurations exigeant l’activation du protocole LDAP.
• Fortinet a publié des correctifs en juillet 2020 et conseillé de désactiver la sensibilité à la casse des noms d’utilisateur comme mesure palliative temporaire.
• Malgré les avertissements, notamment de CISA et du FBI en 2021, plus de 10 000 appareils restent exposés.
• Les vulnérabilités Fortinet sont fréquemment ciblées par des acteurs malveillants, y compris des groupes parrainés par des États.

Vulnérabilités:

• CVE-2020-12812: Contournement de l’authentification à deux facteurs (2FA) via la modification de la casse du nom d’utilisateur dans le SSL VPN de FortiGate.

Recommandations:

• Appliquer immédiatement les mises à jour de FortiOS fournies par Fortinet pour les versions affectées.
• Si une mise à jour immédiate n’est pas possible, désactiver la sensibilité à la casse des noms d’utilisateur pour les configurations LDAP afin de bloquer les tentatives d’exploitation de la CVE-2020-12812.
• Surveiller activement les tentatives d’accès et les journaux pour détecter toute activité suspecte.

Source