FortiOS sotto attacco: bypass 2FA su SSL VPN cambiando una lettera del nome utente

News
Visite: 166

Fortinet ha segnalato lo sfruttamento attivo di una vulnerabilità in FortiOS SSL VPN che consente di aggirare l’autenticazione a due fattori in scenari specifici. Il problema, identificato come CVE-2020-12812, riguarda una gestione non corretta dell’autenticazione che può permettere a un utente di accedere senza ricevere la richiesta del secondo fattore semplicemente modificando le maiuscole e minuscole del nome utente.

La falla emerge quando la 2FA è abilitata nelle impostazioni utente locali su FortiGate, ma l’autenticazione effettiva per quell’utente è demandata a un metodo remoto come LDAP. In queste configurazioni si crea una incoerenza: FortiGate tratta i nomi utente come case sensitive, mentre molte directory LDAP non distinguono tra maiuscole e minuscole. Di conseguenza, se la corrispondenza esatta del nome utente non viene trovata tra gli utenti locali, il sistema può tentare altre opzioni di autenticazione configurate nelle policy firewall, arrivando a validare le credenziali direttamente tramite LDAP e bypassando le regole locali come 2FA o account disabilitati.

Prerequisiti per lo sfruttamento

Perché lo sfruttamento riesca, devono essere presenti alcuni prerequisiti:

  • Utenti locali con 2FA configurati in modo che l’autenticazione punti a LDAP.
  • Gli stessi utenti devono essere membri di un gruppo sul server LDAP.
  • Almeno un gruppo LDAP che include questi utenti deve essere configurato su FortiGate e usato in una policy di autenticazione (ad esempio per accessi amministrativi, SSL VPN o IPsec VPN).

In questo contesto, un login con varianti come Jsmith o jSmith al posto di jsmith può innescare il failover verso il gruppo LDAP e consentire l’accesso senza secondo fattore.

Correzioni e mitigazioni operative

La vulnerabilità è stata corretta già nel 2020 con aggiornamenti FortiOS specifici, ma resta un rischio concreto per chi utilizza versioni non aggiornate o configurazioni non ottimali. Tra le mitigazioni operative, viene indicata la disattivazione della sensibilità alle maiuscole nel controllo del nome utente tramite comandi di configurazione, così da impedire che variazioni di case portino a percorsi di autenticazione alternativi. Un ulteriore intervento consigliato è rimuovere gruppi LDAP secondari non necessari, riducendo la superficie di attacco.

Azioni consigliate in caso di sospetto bypass

In presenza di segnali che indicano accessi amministrativi o VPN senza 2FA, è opportuno contattare il supporto e procedere al reset delle credenziali coinvolte, oltre a verificare log e policy di autenticazione per individuare eventuali bypass.

Pin It
, , ,

Cyber Security UP

CybersecurityUP è una BU di Fata Informatica.
Dal 1994 eroghiamo servizi di sicurezza IT per grandi organizzazioni sia civili che militari.
Image
Image
Image
Via Tiburtina 912,
CAP 00156,
ROMA

Lunedì-venerdì
09:00 - 13:00
14:00 - 18:00

+39 06 4080 0490
amministrazione@fatainformatica.com

Contattaci

Necessiti dei nostri servizi di Cybersecurity?

Privacy policy

Ti invitiamo prendere visione della nostra
privacy policy  per la protezione dei tuoi dati personali.
Disclaimer
Alcune delle foto presenti su Cybersecurityup.it potrebbero essere state prese da Internet e quindi valutate di pubblico dominio. Se i soggetti o gli autori avessero qualcosa in contrario alla pubblicazione, lo possono segnalare via email alla redazione che provvederà prontamente alla rimozione delle immagini utilizzate.
© 2025 Fata Informatica. Tutti i diritti riservati.
We use cookies

Utilizziamo i cookie sul nostro sito Web. Alcuni di essi sono essenziali per il funzionamento del sito, mentre altri ci aiutano a migliorare questo sito e l'esperienza dell'utente (cookie di tracciamento). Puoi decidere tu stesso se consentire o meno i cookie. Ti preghiamo di notare che se li rifiuti, potresti non essere in grado di utilizzare tutte le funzionalità del sito.

Ok Rifiuta