Abusan de una vulnerabilidad de cinco años en FortiOS SSL VPN para evadir la autenticación multifactor
Introducción
El ecosistema de dispositivos de seguridad perimetral ha vuelto a situarse en el punto de mira tras detectarse la explotación activa de una vulnerabilidad crítica en FortiOS SSL VPN. Fortinet ha confirmado que actores maliciosos están abusando de la CVE-2020-12812, una vulnerabilidad descubierta hace cinco años, que sigue presente en infraestructuras con configuraciones específicas. Este incidente subraya la importancia de la gestión proactiva de parches y la revisión continua de las configuraciones de seguridad, especialmente en componentes expuestos a Internet.
Contexto del Incidente o Vulnerabilidad
El pasado miércoles, Fortinet alertó sobre “recientes abusos” de la vulnerabilidad CVE-2020-12812 en dispositivos FortiGate. Identificada originalmente en 2020, esta debilidad afecta al módulo SSL VPN de FortiOS, permitiendo la omisión de la autenticación multifactor (MFA) bajo determinadas configuraciones. A pesar de su antigüedad, la amenaza persiste en organizaciones que no han aplicado las actualizaciones pertinentes o mantienen configuraciones vulnerables, lo que convierte a este fallo en un objetivo atractivo para grupos de amenazas avanzadas (APT) y actores criminales.
Detalles Técnicos
La vulnerabilidad CVE-2020-12812, con una puntuación CVSS de 5.2, se clasifica como un fallo de autenticación inapropiada. Concretamente, el error radica en la lógica de verificación de credenciales cuando se utiliza la opción de autenticación multifactor basada en LDAP. Bajo ciertas condiciones, un atacante puede lograr autenticarse correctamente sin requerir el segundo factor, independientemente de la política definida. Esto abre la puerta a accesos no autorizados a la VPN con tan solo un conjunto válido de usuario y contraseña.
Vectores de Ataque y TTPs
Los ataques observados se alinean con técnicas documentadas en el marco MITRE ATT&CK, destacando:
– T1078 (Valid Accounts): Explotación de credenciales legítimas.
– T1190 (Exploit Public-Facing Application): Ataque a aplicaciones expuestas a Internet.
– T1556.004 (Modify Authentication Process: Network Device Authentication): Manipulación de los mecanismos de autenticación en dispositivos de red.
Se han observado campañas que emplean herramientas automatizadas y frameworks como Metasploit para explotar la vulnerabilidad, facilitando la obtención de shells remotas y el movimiento lateral dentro de la red comprometida. Los indicadores de compromiso (IoC) más relevantes incluyen patrones de acceso no habitual a la VPN, intentos de autenticación sin el segundo factor y la modificación no autorizada de objetos LDAP.
Versiones Afectadas
La vulnerabilidad afecta a las siguientes versiones de FortiOS:
– FortiOS 6.0.0 a 6.0.4
– FortiOS 5.6.3 a 5.6.7
– FortiOS 5.4.6 a 5.4.12
Fortinet publicó parches en 2020, pero una proporción significativa de dispositivos, especialmente fuera del entorno corporativo regulado, continúan sin actualizar.
Impacto y Riesgos
La explotación de CVE-2020-12812 permite a los atacantes saltarse mecanismos de autenticación considerados robustos, como la MFA, comprometiendo la seguridad de accesos remotos a recursos internos críticos. Esto puede derivar en la exfiltración de datos sensibles, despliegue de ransomware y movimientos laterales hacia otros activos de la red. En entornos sometidos a regulaciones como GDPR o NIS2, un incidente de estas características puede acarrear sanciones significativas, comprometiendo la reputación y la viabilidad operativa de la organización.
Medidas de Mitigación y Recomendaciones
Fortinet recomienda encarecidamente:
1. Aplicar los parches de seguridad publicados en 2020 o actualizar a versiones no vulnerables de FortiOS.
2. Revisar las configuraciones de autenticación multifactor, especialmente aquellas que emplean LDAP.
3. Monitorizar los logs de acceso a la VPN para identificar patrones anómalos.
4. Desplegar reglas YARA y firmas de IDS/IPS específicas para detectar intentos de explotación.
5. Realizar auditorías periódicas de la superficie de exposición y validar la robustez de la MFA implementada.
Adicionalmente, se recomienda restringir el acceso a la interfaz de administración y a los servicios VPN solo desde direcciones IP autorizadas y emplear soluciones de gestión de vulnerabilidades.
Opinión de Expertos
Expertos del sector, como Javier Candau (CCN-CERT), subrayan que “la persistencia de dispositivos sin actualizar es uno de los principales vectores de entrada en incidentes graves”. Asimismo, analistas SOC señalan que “la explotación de vulnerabilidades antiguas demuestra que el ciclo de gestión de parches sigue siendo el eslabón débil incluso en grandes organizaciones”. Desde SANS Institute advierten que la automatización de ataques mediante herramientas como Metasploit acelera la explotación masiva de dispositivos vulnerables, incrementando el riesgo para empresas de todos los tamaños.
Implicaciones para Empresas y Usuarios
Para las empresas, este incidente pone de manifiesto la necesidad de integrar la gestión de vulnerabilidades en los procesos de compliance y auditoría. Los administradores deben asegurarse de que no existen rutas de acceso remoto que puedan eludirse mediante errores de configuración. Además, la presión regulatoria, especialmente bajo GDPR y la inminente entrada en vigor de NIS2, hace que la exposición a estas vulnerabilidades pueda derivar en consecuencias legales y económicas severas.
Conclusiones
La explotación activa de la CVE-2020-12812 en FortiOS SSL VPN evidencia la importancia de mantener una política de actualización y monitorización continua en los dispositivos de seguridad perimetral. Las organizaciones deben combinar la aplicación rigurosa de parches con la revisión de configuraciones y el despliegue de controles de detección proactivos para minimizar el riesgo frente a actores maliciosos. La resiliencia en ciberseguridad depende, en última instancia, de la capacidad para anticipar, detectar y responder a vulnerabilidades, aun cuando éstas sean conocidas y antiguas.
(Fuente: feeds.feedburner.com)