Una vulnerabilidad descubierta en 2020 en el sistema FortiOS SSL VPN ha vuelto a convertirse en un riesgo activo para organizaciones que usan esta tecnología de Fortinet. El problema, catalogado como CVE-2020-12812, tiene una puntuación CVSS de 5.2 y afecta al mecanismo de autenticación de dos factores (2FA), permitiendo que usuarios eviten este segundo paso de seguridad bajo ciertas configuraciones.
El fallo se presenta cuando el nombre de usuario se introduce con una combinación distinta de mayúsculas y minúsculas respecto al valor registrado. Esto provoca que el sistema, en lugar de validar la cuenta local con 2FA, delegue la autenticación al servidor LDAP, que no distingue entre mayúsculas y minúsculas.
Imaginemos que se tiene registrado «jsmith» como usuario, pero alguien inicia sesión con «JSmith» o «jsmiTh». En ese caso, el FortiGate podría ignorar la validación 2FA y autorizar el acceso directamente a través del servidor LDAP, comprometiendo la seguridad de la red.
Requisitos para que se explote la vulnerabilidad
No cualquier instalación de Fortinet está expuesta. Para que el problema pueda ser explotado, deben cumplirse ciertas condiciones:
- La autenticación 2FA debe estar habilitada para usuarios locales en FortiGate.
- Estos usuarios deben estar también presentes como miembros en un grupo de un servidor LDAP.
- Al menos uno de esos grupos LDAP debe estar referenciado en una política de autenticación en FortiGate, ya sea para acceso VPN, IPSEC o incluso para administradores.
Cuando estas condiciones se cumplen, y el nombre de usuario no coincide exactamente en el uso de mayúsculas y minúsculas, el sistema busca autenticación en otras fuentes. En este caso, el LDAP valida la sesión sin aplicar el segundo factor de seguridad, lo cual representa una brecha significativa.
Impacto real y ataques activos
Fortinet confirmó recientemente que esta vulnerabilidad está siendo activamente explotada. Aunque fue parchada en 2020 con versiones como FortiOS 6.0.10, 6.2.4 y 6.4.1, muchas organizaciones continúan usando configuraciones vulnerables, lo que abre la puerta a ataques dirigidos.
El Departamento de Seguridad Nacional de EE. UU. ya había advertido en 2021 sobre el uso de esta debilidad por parte de actores maliciosos para comprometer dispositivos en la periferia de las redes empresariales. Estos ataques, muchas veces silenciosos, pueden permitir que un atacante acceda como administrador o usuario de VPN sin que el sistema le solicite el segundo factor.
Acciones de mitigación recomendadas
Para corregir esta situación, Fortinet recomienda aplicar uno de los siguientes comandos, dependiendo de la versión de FortiOS utilizada:
- Para versiones anteriores:
set username-case-sensitivity disable - Para versiones recientes (6.0.13, 6.2.10, 6.4.7, 7.0.1 o superiores):
set username-sensitivity disable
Estos comandos hacen que FortiGate trate los nombres de usuario de forma insensible a mayúsculas y minúsculas, igualando «JSmith» con «jsmith» y así evitando que el sistema pase a un segundo método de autenticación.
Como medida adicional, también se sugiere eliminar grupos LDAP secundarios innecesarios de la configuración. Si el grupo LDAP no es requerido, quitarlo corta completamente la posibilidad de que un usuario sin coincidencia exacta en el nombre acceda por otra vía.
Fortinet no detalla los ataques
En su última notificación del 24 de diciembre de 2025, Fortinet no ha revelado cuáles han sido los ataques concretos que han explotado esta vulnerabilidad, ni ha confirmado si alguno fue exitoso. Sin embargo, el solo hecho de que el fallo vuelva a utilizarse en escenarios reales es una llamada de atención urgente para todas las empresas que operan con FortiOS.
Se recomienda revisar los registros de acceso y consultar con el soporte de Fortinet si se sospecha que usuarios administrativos o de VPN han podido iniciar sesión sin haber completado la autenticación de dos factores. En ese caso, también se recomienda restablecer todas las credenciales comprometidas.
Un problema viejo, una amenaza actual
Este caso muestra cómo una vulnerabilidad aparentemente menor y antigua puede transformarse en una amenaza seria si se combinan ciertas condiciones de configuración. En un mundo donde la seguridad perimetral es la primera línea de defensa, un detalle como la sensibilidad al uso de mayúsculas en los nombres de usuario puede abrir una puerta trasera peligrosa.
El uso de 2FA no es infalible si los sistemas que lo implementan tienen fallos de lógica o inconsistencias entre los distintos métodos de autenticación. Como ocurre en muchos otros campos, la seguridad no solo depende de tener las herramientas adecuadas, sino de configurarlas correctamente y mantenerlas actualizadas.