Preiscriviti ora al corso Ethical Hacker! Scopri di più
Cyber Click Day - Richiedi il Voucher Personale per il 16 Aprile Scopri di più
FortiOS sotto attacco: bypass 2FA su SSL VPN cambiando una lettera del nome utente
Fortinet ha segnalato lo sfruttamento attivo di una vulnerabilità in FortiOS SSL VPN che consente di aggirare l’autenticazione a due fattori in scenari specifici. Il problema, identificato come CVE-2020-12812, riguarda una gestione non corretta dell’autenticazione che può permettere a un utente di accedere senza ricevere la richiesta del secondo fattore semplicemente modificando le maiuscole e minuscole del nome utente.
La falla emerge quando la 2FA è abilitata nelle impostazioni utente locali su FortiGate, ma l’autenticazione effettiva per quell’utente è demandata a un metodo remoto come LDAP. In queste configurazioni si crea una incoerenza: FortiGate tratta i nomi utente come case sensitive, mentre molte directory LDAP non distinguono tra maiuscole e minuscole. Di conseguenza, se la corrispondenza esatta del nome utente non viene trovata tra gli utenti locali, il sistema può tentare altre opzioni di autenticazione configurate nelle policy firewall, arrivando a validare le credenziali direttamente tramite LDAP e bypassando le regole locali come 2FA o account disabilitati.
Prerequisiti per lo sfruttamento
Perché lo sfruttamento riesca, devono essere presenti alcuni prerequisiti:
- Utenti locali con 2FA configurati in modo che l’autenticazione punti a LDAP.
- Gli stessi utenti devono essere membri di un gruppo sul server LDAP.
- Almeno un gruppo LDAP che include questi utenti deve essere configurato su FortiGate e usato in una policy di autenticazione (ad esempio per accessi amministrativi, SSL VPN o IPsec VPN).
In questo contesto, un login con varianti come Jsmith o jSmith al posto di jsmith può innescare il failover verso il gruppo LDAP e consentire l’accesso senza secondo fattore.
Correzioni e mitigazioni operative
La vulnerabilità è stata corretta già nel 2020 con aggiornamenti FortiOS specifici, ma resta un rischio concreto per chi utilizza versioni non aggiornate o configurazioni non ottimali. Tra le mitigazioni operative, viene indicata la disattivazione della sensibilità alle maiuscole nel controllo del nome utente tramite comandi di configurazione, così da impedire che variazioni di case portino a percorsi di autenticazione alternativi. Un ulteriore intervento consigliato è rimuovere gruppi LDAP secondari non necessari, riducendo la superficie di attacco.
Azioni consigliate in caso di sospetto bypass
In presenza di segnali che indicano accessi amministrativi o VPN senza 2FA, è opportuno contattare il supporto e procedere al reset delle credenziali coinvolte, oltre a verificare log e policy di autenticazione per individuare eventuali bypass.