Hack Alerta

Mais de 10.000 Fortinet FortiGate ainda expostos ao bypass de MFA (CVE-2020-12812)

Por Redação Hack Alerta Publicado em 02/01/2026 12:02 Vazamento de dados Tempo de leitura: 3 min

Relatório do Shadowserver revela mais de 10.000 instâncias FortiGate expostas à CVE-2020-12812, uma falha de bypass de MFA com exploração ativa confirmada pela Fortinet em 2025. Versões afetadas incluem FortiOS 6.4.0; 6.2.0-6.2.3; 6.0.9 e anteriores; Fortinet recomenda atualizar para 6.0.10+, 6.2.4+ ou 6.4.1+ e revisar configurações híbridas local‑LDAP.

Resumo executivo

Relatórios recentes do Shadowserver mostram mais de 10.000 instâncias de firewalls Fortinet FortiGate expostas e vulneráveis ao CVE-2020-12812, uma falha de bypass de MFA divulgada em 2020, cuja exploração ativa foi novamente destacada pela Fortinet no final de 2025.

Descoberta e escopo

  • Shadowserver incluiu a vulnerabilidade em seu Vulnerable HTTP Report diário, identificando mais de 10.000 dispositivos vulneráveis em janeiro de 2026.
  • Os países com maior contagem incluem Estados Unidos (≈1.3K), Thailandia (909), Taiwan (728), Japão (462) e China (462), segundo o mesmo painel.

Vulnerabilidade e mecanismo

CVE-2020-12812 decorre de autenticação inadequada nos portais SSL VPN do FortiOS. Em determinadas configurações — usuários locais com MFA ligado, mapeamento a LDAP e associação a grupos usados nas políticas de autenticação — atacantes puderam contornar a solicitação de segundo fator alterando apenas a capitalização do nome de usuário (por exemplo, "user" → "User").

Severidade e evidência de exploração

  • A falha tem score CVSS v3.1 de 7.5 (High).
  • Fortinet informou sobre "abuso recente" em 2025 (PSIRT advisory FG-IR-19-283 update), confirmando uso em operações maliciosas no mundo real.
  • Historicamente, a vulnerabilidade foi adicionada ao catálogo Known Exploited Vulnerabilities da CISA em 2021 após uso por atores de ransomware.

Versões afetadas e correções

Versões citadas como afetadas: FortiOS 6.4.0; 6.2.0 até 6.2.3; 6.0.9 e anteriores. Fortinet recomenda atualização para versões com correção: 6.0.10+, 6.2.4+ e 6.4.1+.

Riscos práticos

Em ambientes com usuários locais mapeados a LDAP e com MFA habilitado, a exploração permite autenticação sem segundo fator, facilitando acesso não autorizado a redes internas via SSL VPN. Isso amplia risco de acesso inicial por ransomware ou movimentação lateral.

Mitigações recomendadas

  • Atualizar imediatamente para versões FortiOS corrigidas (6.0.10+, 6.2.4+, 6.4.1+).
  • Revisar configurações que misturam usuários locais e LDAP; evitar políticas híbridas que permitam bypass de MFA.
  • Desabilitar exposição desnecessária de SSL VPN à Internet pública e aplicar restrições por origem/GeoIP.
  • Monitorar logs por tentativas de login com variação de capitalização em nomes de usuário e padrões anômalos de acesso.
  • Assinar relatórios do Shadowserver e executar scans de HTTP vulnerável para identificar instâncias expostas.

O que ainda não está público

Os números publicados pelo Shadowserver apontam existência de instâncias vulneráveis, mas não detalham quais organizações específicas foram comprometidas nesta iteração. Dados forenses sobre incidentes recentes que exploraram essa falha em dezembro de 2025 não foram publicados na íntegra nas fontes consultadas.

Fonte: Cyber Security News — cobertura sobre a persistência da exposição e recomendações da Fortinet e Shadowserver.
Baseado em publicação original de Cyber Security News
Tags: #fortinet #fortigate #cve-2020-12812 #mfa-bypass #vulnerabilidade #ssl-vpn
Publicado pela Redação Hack Alerta com base em fontes externas citadas e monitoramento editorial do Hack Alerta. Para decisões técnicas, operacionais ou jurídicas, confirme sempre os detalhes na fonte original.
← Voltar