Overview
A Fortinet emitiu alerta neste mês confirmando exploração ativa da vulnerabilidade CVE-2020-12812 (CVSS 9.8), uma falha de autenticação imprópria no FortiOS SSL VPN que permite bypass de autenticação de dois fatores (2FA) em configurações específicas envolvendo LDAP. Apesar de ter sido corrigido em julho de 2020 e adicionado ao catálogo de vulnerabilidades conhecidas exploradas (KEV) da CISA em novembro de 2021, o erro continua sendo ativamente utilizado por múltiplos atores de ameaça contra organizações que não aplicaram os patches ou mantêm configurações vulneráveis.
A vulnerabilidade explora uma discrepância no tratamento de usernames entre FortiGate e diretórios LDAP. Para que a exploração seja bem-sucedida, três condições devem estar presentes: usuários locais no FortiGate com 2FA habilitado que referenciam LDAP, esses mesmos usuários devem ser membros de grupos no servidor LDAP e pelo menos um desses grupos LDAP deve estar configurado no FortiGate e utilizado em políticas de autenticação. O ataque funciona da seguinte forma: quando um usuário legítimo com 2FA configurado tenta autenticar com o username exato, o token de segundo fator é solicitado normalmente. Porém, se um atacante de posse das credenciais válidas modifica a capitalização, o FortiGate falha ao corresponder o usuário local e avalia outras políticas de autenticação configuradas. O FortiGate então identifica grupos LDAP secundários nas políticas de firewall e, encontrando o servidor LDAP associado, autentica o usuário diretamente com apenas username e senha, ignorando as configurações de 2FA.
Esta vulnerabilidade tem sido explorada em ataques de ransomware e por grupos APT, conforme alertado pelo FBI e pela CISA em 2021. Contudo, atores de ameaça ainda exploram esta falha em ataques a firewalls FortiGate vulneráveis. Nesse sentido, é importante destacar que dispositivos FortiGate são alvos recorrentes de exploração, como o caso de outra vulnerabilidade anterior CVE-2023-27997 (CVSS 9.2) de heap buffer overflow no SSL-VPN, que permitia execução remota de código sem autenticação e que foi utilizada em ataques no primeiro semestre deste ano. A fabricante alertou que atores de ameaça usavam essa falha previamente explorada para implementar novas técnicas. Neste caso, após o comprometimento inicial, o atacante criava um link simbólico conectando o sistema de arquivos do usuário ao sistema de arquivos root em uma pasta usada para servir arquivos de idioma do SSL-VPN. Assim, mesmo que o dispositivo FortiGate estivesse atualizado com versões do FortiOS que corrigiram as vulnerabilidades, esse link malicioso poderia permanecer intacto no sistema, permitindo que o ator de ameaça mantivesse acesso de read-only aos arquivos.
Produtos Afetados
| CVE | Severidade | Produto Afetado |
|---|---|---|
| CVE-2020-12812 | Crítica | FortiOS versões anteriores a 6.0.10, 6.2.4, 6.4.1 com configurações LDAP específicas |
| CVE-2023-27997 | Crítica | FortiOS versões de 7.2.0 até 7.2.4, FortiOS versões de 7.0.0 até 7.0.11, FortiOS versões de 6.4.0 até 6.4.12, FortiOS versões de 6.2.0 até 6.2.13, FortiOS versões de 6.0.0 até 6.0.16, entre outras |
Recomendações
- Atualizar imediatamente todos os dispositivos FortiOS para versões seguras: FortiOS 6.0.10, 6.2.4, 6.4.1 ou superiores, conforme a linha de produto utilizada
- Revisar as configurações de todos os dispositivos
- Como remediação de contorno, desabilitar a sensibilidade de capitalização de usernames em todas as contas locais executando o comando CLI:
set username-sensitivity disableouset username-case-sensitivity disable - Remover grupos LDAP secundários desnecessários das configurações de autenticação
Fontes
- Fortinet PSIRT Advisory FG-IR-19-283 - CVE-2020-12812 FortiOS MFA bypass by changing username case
- Fortinet PSIRT Blog - Product Security Advisory and Analysis: Observed Abuse of FG-IR-19-283
- Fortinet PSIRT Advisory FG-IR-23-097 - CVE-2023-27997 Heap Buffer Overflow in SSL-VPN
- Fortinet Blog - Analysis of Threat Actor Activity
- BoletimSec - Fortinet emite alerta após detecção de intrusões por falhas em firewalls
- BleepingComputer - Fortinet warns of 5-year-old FortiOS 2FA bypass still exploited in attacks
Overview
Fortinet issued an alert this month confirming active exploitation of vulnerability CVE-2020-12812 (CVSS 9.8), an improper authentication flaw in FortiOS SSL VPN that allows bypassing two-factor authentication (2FA) in specific configurations involving LDAP. Despite being patched in July 2020 and added to CISA's Known Exploited Vulnerabilities (KEV) catalog in November 2021, the vulnerability continues to be actively exploited by multiple threat actors against organizations that have not applied patches or maintain vulnerable configurations.
The vulnerability exploits a discrepancy in username handling between FortiGate and LDAP directories. For successful exploitation, three conditions must be present: local users on FortiGate with 2FA enabled that reference LDAP, these same users must be members of groups on the LDAP server, and at least one of these LDAP groups must be configured on FortiGate and used in authentication policies. The attack works as follows: when a legitimate user with configured 2FA attempts to authenticate with the exact username, the second factor token is requested normally. However, if an attacker in possession of valid credentials modifies the capitalization, FortiGate fails to match the local user and evaluates other configured authentication policies. FortiGate then identifies secondary LDAP groups in firewall policies and, finding the associated LDAP server, authenticates the user directly with only username and password, bypassing 2FA settings.
This vulnerability has been exploited in ransomware attacks and by APT groups, as warned by the FBI and CISA in 2021. However, threat actors continue to exploit this flaw in attacks against vulnerable FortiGate firewalls. In this regard, it is important to highlight that FortiGate devices are recurring exploitation targets, such as the case of another previous vulnerability CVE-2023-27997 (CVSS 9.2) involving heap buffer overflow in SSL-VPN, which allowed unauthenticated remote code execution and was used in attacks during the first half of this year. The manufacturer warned that threat actors were using this previously exploited flaw to implement new techniques. In this case, after initial compromise, the attacker created a symbolic link connecting the user file system to the root file system in a folder used to serve SSL-VPN language files. Thus, even if the FortiGate device was updated with FortiOS versions that fixed the vulnerabilities, this malicious link could remain intact on the system, allowing the threat actor to maintain read-only access to files.
Affected Products
| CVE | Severity | Affected Product |
|---|---|---|
| CVE-2020-12812 | Critical | FortiOS versions prior to 6.0.10, 6.2.4, 6.4.1 with specific LDAP configurations |
| CVE-2023-27997 | Critical | FortiOS versions from 7.2.0 to 7.2.4, FortiOS versions from 7.0.0 to 7.0.11, FortiOS versions from 6.4.0 to 6.4.12, FortiOS versions from 6.2.0 to 6.2.13, FortiOS versions from 6.0.0 to 6.0.16, among others |
Recommendations
- Immediately update all FortiOS devices to secure versions: FortiOS 6.0.10, 6.2.4, 6.4.1 or higher, according to the product line used
- Review configurations of all devices
- As a workaround remediation, disable username capitalization sensitivity on all local accounts by executing the CLI command:
set username-sensitivity disableorset username-case-sensitivity disable - Remove unnecessary secondary LDAP groups from authentication configurations
Sources
- Fortinet PSIRT Advisory FG-IR-19-283 - CVE-2020-12812 FortiOS MFA bypass by changing username case
- Fortinet PSIRT Blog - Product Security Advisory and Analysis: Observed Abuse of FG-IR-19-283
- Fortinet PSIRT Advisory FG-IR-23-097 - CVE-2023-27997 Heap Buffer Overflow in SSL-VPN
- Fortinet Blog - Analysis of Threat Actor Activity
- BoletimSec - Fortinet emite alerta após detecção de intrusões por falhas em firewalls
- BleepingComputer - Fortinet warns of 5-year-old FortiOS 2FA bypass still exploited in attacks
Overview
Fortinet emitió una alerta este mes confirmando la explotación activa de la vulnerabilidad CVE-2020-12812 (CVSS 9.8), una falla de autenticación incorrecta en FortiOS SSL VPN que permite eludir la autenticación de dos factores (2FA) en configuraciones específicas que involucran LDAP. A pesar de haber sido corregida en julio de 2020 y agregada al catálogo de vulnerabilidades conocidas explotadas (KEV) de CISA en noviembre de 2021, el error continúa siendo activamente utilizado por múltiples actores de amenaza contra organizaciones que no han aplicado los parches o mantienen configuraciones vulnerables.
La vulnerabilidad explota una discrepancia en el manejo de nombres de usuario entre FortiGate y directorios LDAP. Para que la explotación sea exitosa, deben estar presentes tres condiciones: usuarios locales en FortiGate con 2FA habilitado que referencian LDAP, estos mismos usuarios deben ser miembros de grupos en el servidor LDAP y al menos uno de estos grupos LDAP debe estar configurado en FortiGate y utilizado en políticas de autenticación. El ataque funciona de la siguiente manera: cuando un usuario legítimo con 2FA configurado intenta autenticarse con el nombre de usuario exacto, el token de segundo factor se solicita normalmente. Sin embargo, si un atacante en posesión de credenciales válidas modifica la capitalización, FortiGate falla al corresponder el usuario local y evalúa otras políticas de autenticación configuradas. FortiGate entonces identifica grupos LDAP secundarios en las políticas de firewall y, al encontrar el servidor LDAP asociado, autentica al usuario directamente con solo nombre de usuario y contraseña, ignorando las configuraciones de 2FA.
Esta vulnerabilidad ha sido explotada en ataques de ransomware y por grupos APT, según alertaron el FBI y CISA en 2021. Sin embargo, los actores de amenaza continúan explotando esta falla en ataques contra firewalls FortiGate vulnerables. En este sentido, es importante destacar que los dispositivos FortiGate son objetivos recurrentes de explotación, como el caso de otra vulnerabilidad anterior CVE-2023-27997 (CVSS 9.2) de desbordamiento de búfer en heap en SSL-VPN, que permitía la ejecución remota de código sin autenticación y que fue utilizada en ataques durante el primer semestre de este año. El fabricante alertó que los actores de amenaza usaban esta falla previamente explotada para implementar nuevas técnicas. En este caso, después del compromiso inicial, el atacante creaba un enlace simbólico conectando el sistema de archivos del usuario al sistema de archivos root en una carpeta utilizada para servir archivos de idioma del SSL-VPN. Así, incluso si el dispositivo FortiGate estuviera actualizado con versiones de FortiOS que corrigieron las vulnerabilidades, este enlace malicioso podría permanecer intacto en el sistema, permitiendo que el actor de amenaza mantuviera acceso de solo lectura a los archivos.
Productos Afectados
| CVE | Severidad | Producto Afectado |
|---|---|---|
| CVE-2020-12812 | Crítica | FortiOS versiones anteriores a 6.0.10, 6.2.4, 6.4.1 con configuraciones LDAP específicas |
| CVE-2023-27997 | Crítica | FortiOS versiones de 7.2.0 hasta 7.2.4, FortiOS versiones de 7.0.0 hasta 7.0.11, FortiOS versiones de 6.4.0 hasta 6.4.12, FortiOS versiones de 6.2.0 hasta 6.2.13, FortiOS versiones de 6.0.0 hasta 6.0.16, entre otras |
Recomendaciones
- Actualizar inmediatamente todos los dispositivos FortiOS a versiones seguras: FortiOS 6.0.10, 6.2.4, 6.4.1 o superiores, según la línea de producto utilizada
- Revisar las configuraciones de todos los dispositivos
- Como remediación alternativa, deshabilitar la sensibilidad de capitalización de nombres de usuario en todas las cuentas locales ejecutando el comando CLI:
set username-sensitivity disableoset username-case-sensitivity disable - Eliminar grupos LDAP secundarios innecesarios de las configuraciones de autenticación
Fuentes
- Fortinet PSIRT Advisory FG-IR-19-283 - CVE-2020-12812 FortiOS MFA bypass by changing username case
- Fortinet PSIRT Blog - Product Security Advisory and Analysis: Observed Abuse of FG-IR-19-283
- Fortinet PSIRT Advisory FG-IR-23-097 - CVE-2023-27997 Heap Buffer Overflow in SSL-VPN
- Fortinet Blog - Analysis of Threat Actor Activity
- BoletimSec - Fortinet emite alerta após detecção de intrusões por falhas em firewalls
- BleepingComputer - Fortinet warns of 5-year-old FortiOS 2FA bypass still exploited in attacks
Central de Conteúdos SEK
Acesse nossa central de conteúdos e confira os mais recentes relatórios e notícias sobre cibersegurança.
Acessar Central de ConteúdosSEK Content Hub
Access our content hub and check out the latest reports and news on cybersecurity.
Access Content HubCentral de Contenidos SEK
Accede a nuestra central de contenidos y consulta los informes y noticias más recientes sobre ciberseguridad.
Acceder a la Central de Contenidos