- \n
- Usuarios locales con 2FA est\u00e1n asociados a grupos LDAP, donde esos grupos se usan en pol\u00edticas de autenticaci\u00f3n (VPN o acceso administrativo).<\/li>\n<\/ul>\n\n\n\n
Descripci\u00f3n<\/h2>\n\n\n\n
Recientemente se ha observado explotaci\u00f3n activa de una vulnerabilidad vieja en dispositivos FortiGate de Fortinet que permite omitir la autenticaci\u00f3n de dos factores (2FA)<\/strong> en VPNs y consolas administrativas. Esta falla, identificada como CVE-2020-12812<\/strong>, fue originalmente parcheada en 2020<\/strong>, pero a\u00fan permanece explotable en entornos desactualizados o mal configurados.<\/p>\n\n\n\n
La ra\u00edz del problema se encuentra en la manera en la que FortiGate compara nombres de usuario frente a servidores LDAP<\/strong>. Mientras que muchos LDAP como Active Directory no distinguen entre may\u00fasculas y min\u00fasculas, FortiGate aplica sensibilidad a caso por defecto. Un atacante puede entonces enviar variantes de un nombre de usuario (p.ej. \u201cDSanchez\u201d en lugar de \u201cdsanchez\u201d), provocando que FortiGate no coincida con el usuario local y recurra a una pol\u00edtica secundaria basada en LDAP para autenticar al usuario con credenciales LDAP v\u00e1lidas. Este proceso evita por completo el paso de 2FA, concediendo acceso sin token a interfaces VPN o de administraci\u00f3n<\/strong>.<\/p>\n\n\n\n
Debido a esta l\u00f3gica, si un usuario local con 2FA est\u00e1 en un grupo LDAP que se usa en la pol\u00edtica de acceso, el atacante puede entrar al sistema simplemente con que las credenciales LDAP permitan el inicio de sesi\u00f3n, sin necesidad de pasar la segunda capa de autenticaci\u00f3n.<\/strong><\/p>\n\n\n\n
Seg\u00fan datos de Shodan.io, en M\u00e9xico se identifican m\u00e1s de 13 mil firewalls de Fortigate<\/strong>, por lo que se recomienda encarecidamente tomar acciones y en caso de ser necesario, actualizar los firewalls.<\/p>\n\n\n\n
![\"\"](\"https:\/\/beaconlab.us\/wp-content\/uploads\/2025\/12\/image-2.png\")
<\/figure>\n\n\n\nN\u00famero de firewalls de Fortigate implementados en M\u00e9xico<\/em><\/p>\n\n\n\n
Mitigaciones y soluciones<\/h2>\n\n\n\n
Para reducir el riesgo y eliminar esta v\u00eda de explotaci\u00f3n:<\/p>\n\n\n\n
- \n
- Actualizar firmware de FortiGate<\/strong> a versiones que incluyan la correcci\u00f3n de CVE-2020-12812<\/strong>, como se indica en las versiones posteriores a 6.0.10, 6.2.4 y 6.4.1 o superiores en el siguiente enlace:<\/li>\n<\/ol>\n\n\n\n
https:\/\/www.fortiguard.com\/psirt\/FG-IR-19-283<\/a><\/p>\n\n\n\n
- \n
- En dispositivos que a\u00fan no puedan actualizarse, deshabilitar la sensibilidad a may\u00fasculas\/min\u00fasculas<\/strong> para los nombres de usuario en FortiOS. Esto evita que el bypass funcione.<\/li>\n\n\n\n
- Revisar y ajustar las configuraciones LDAP\/SSO<\/strong> eliminando mapeos de grupos innecesarios en pol\u00edticas de autenticaci\u00f3n (especialmente para usuarios con 2FA).<\/li>\n\n\n\n
- Auditar logs de autenticaci\u00f3n<\/strong> para detectar patrones de intentos con variaciones de nombre de usuario (indicadores t\u00edpicos de este tipo de bypass).<\/li>\n\n\n\n
- Considerar limitaciones de gesti\u00f3n de acceso<\/strong> (p.ej., administraci\u00f3n segura desde redes internas, listas blancas de IPs para administraci\u00f3n) para reducir la exposici\u00f3n directa de interfaces cr\u00edticas a Internet.<\/li>\n<\/ol>\n\n\n\n
Informaci\u00f3n adicional:<\/h2>\n\n\n\n
- \n
- https:\/\/www.fortinet.com\/blog\/psirt-blogs\/product-security-advisory-and-analysis-observed-abuse-of-fg-ir-19-283<\/a><\/li>\n\n\n\n
- https:\/\/cybersecuritynews.com\/fortigate-firewall-vulnerability\/<\/a><\/li>\n\n\n\n
- https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2020-12812<\/a><\/li>\n<\/ul>\n","protected":false},"featured_media":0,"template":"","class_list":["post-11184","publicacion","type-publicacion","status-publish","hentry"],"acf":{"activar_pdf_link":false,"pdf":null,"numero_de_boletin":"","traffic_light_protocol":"Amber"},"aioseo_notices":[],"_links":{"self":[{"href":"https:\/\/beaconlab.us\/es\/wp-json\/wp\/v2\/publicacion\/11184","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/beaconlab.us\/es\/wp-json\/wp\/v2\/publicacion"}],"about":[{"href":"https:\/\/beaconlab.us\/es\/wp-json\/wp\/v2\/types\/publicacion"}],"version-history":[{"count":1,"href":"https:\/\/beaconlab.us\/es\/wp-json\/wp\/v2\/publicacion\/11184\/revisions"}],"predecessor-version":[{"id":11188,"href":"https:\/\/beaconlab.us\/es\/wp-json\/wp\/v2\/publicacion\/11184\/revisions\/11188"}],"wp:attachment":[{"href":"https:\/\/beaconlab.us\/es\/wp-json\/wp\/v2\/media?parent=11184"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}
- https:\/\/cybersecuritynews.com\/fortigate-firewall-vulnerability\/<\/a><\/li>\n\n\n\n
- Revisar y ajustar las configuraciones LDAP\/SSO<\/strong> eliminando mapeos de grupos innecesarios en pol\u00edticas de autenticaci\u00f3n (especialmente para usuarios con 2FA).<\/li>\n\n\n\n
- En dispositivos que a\u00fan no puedan actualizarse, deshabilitar la sensibilidad a may\u00fasculas\/min\u00fasculas<\/strong> para los nombres de usuario en FortiOS. Esto evita que el bypass funcione.<\/li>\n\n\n\n
- Actualizar firmware de FortiGate<\/strong> a versiones que incluyan la correcci\u00f3n de CVE-2020-12812<\/strong>, como se indica en las versiones posteriores a 6.0.10, 6.2.4 y 6.4.1 o superiores en el siguiente enlace:<\/li>\n<\/ol>\n\n\n\n