A Fortinet informou, na quarta-feira, que identificou um “uso abusivo recente” de uma vulnerabilidade descoberta há cerca de cinco anos no FortiOS SSL VPN em ambientes reais, quando determinadas configurações estão presentes. A falha voltou a chamar atenção após evidências de exploração ativa.
A vulnerabilidade, identificada como CVE-2020-12812 (CVSS 5,2), está relacionada a um problema de autenticação inadequada no SSL VPN do FortiOS. Em cenários específicos, o erro permite que um usuário consiga se autenticar sem passar pelo segundo fator de verificação, desde que altere a combinação de letras maiúsculas e minúsculas do nome de usuário.
De acordo com a Fortinet, o problema ocorre quando a autenticação de dois fatores (2FA) está habilitada para usuários locais, mas o método de autenticação configurado é remoto, como LDAP. A falha decorre de uma inconsistência no tratamento de maiúsculas e minúsculas: enquanto o FortiGate diferencia os caracteres, o diretório LDAP não aplica essa distinção.
Desde sua divulgação inicial, em julho de 2020, a CVE-2020-12812 passou a ser explorada por diversos atores maliciosos. Em 2021, o governo dos Estados Unidos chegou a incluí-la em uma lista de vulnerabilidades utilizadas em ataques direcionados contra dispositivos de perímetro.
Em um novo comunicado publicado em 24 de dezembro de 2025, a Fortinet detalhou as condições necessárias para que a exploração seja bem-sucedida. Entre os pré-requisitos estão a existência de usuários locais com 2FA vinculados a autenticação LDAP, a associação desses usuários a grupos no servidor LDAP e a utilização desses grupos em políticas de autenticação no FortiGate, como acesso administrativo ou VPN SSL/IPsec.
Quando esse cenário está configurado, usuários LDAP com 2FA podem acabar ignorando a camada adicional de segurança e se autenticar diretamente via LDAP. Isso acontece porque, ao não encontrar uma correspondência exata do nome de usuário local — por variações de letras maiúsculas e minúsculas —, o FortiGate tenta outras políticas de autenticação disponíveis.
Segundo a Fortinet, ao falhar na correspondência exata, o sistema recorre a um grupo LDAP secundário configurado. Se as credenciais estiverem corretas no LDAP, a autenticação é concluída com sucesso, independentemente das restrições definidas para o usuário local, incluindo 2FA ou até mesmo contas desativadas.
Como consequência, administradores ou usuários de VPN podem ser autenticados sem a exigência do segundo fator. A Fortinet corrigiu esse comportamento ainda em julho de 2020, com o lançamento das versões 6.0.10, 6.2.4 e 6.4.1 do FortiOS.
Para organizações que ainda não atualizaram, a empresa recomenda desativar a diferenciação entre maiúsculas e minúsculas nos nomes de usuário locais. Já clientes que utilizam versões mais recentes — como 6.0.13, 6.2.10, 6.4.7, 7.0.1 ou superiores — devem garantir que essa configuração esteja corretamente aplicada, impedindo o redirecionamento indevido para autenticação via LDAP.
Como medida adicional, a Fortinet sugere remover grupos LDAP secundários que não sejam estritamente necessários, o que elimina completamente a possibilidade desse vetor de ataque. A empresa também orienta que clientes que identifiquem autenticações sem 2FA entrem em contato com o suporte técnico e redefinam todas as credenciais afetadas.
O aviso não detalha quais tipos de ataques foram observados nem se houve comprometimentos bem-sucedidos, mas reforça a importância de revisar configurações e manter sistemas atualizados para evitar exploração dessa falha conhecida.
