Los investigadores advierten que miles de instancias de Fortinet corren el riesgo de ser explotadas después de que la compañía revelara que una falla heredada está bajo nuevo ataque.
La vulnerabilidad, rastreada como CVE-2020-12812ha sido explotado en estado salvaje en las últimas semanas cuando opera bajo ciertas configuraciones, según un blog de Fortinet lanzado en Nochebuena.
El defecto original relacionado con un Vulnerabilidad de autenticación incorrecta en SSL VPN en FortiOSlo que podría permitir a un usuario iniciar sesión sin que se le solicite un segundo factor.
Bajo ciertas configuraciones, FortiGate puede permitir que los usuarios del Protocolo ligero de acceso a directorios omitan la autenticación de dos factores y en su lugar se autentiquen directamente contra LDAP, según Fortinet. La compañía dijo que esto se debe a diferencias en el comportamiento de los directorios LDAP.
El comportamiento está vinculado a que FortiGate trata los nombres de usuario como si distinguieran entre mayúsculas y minúsculas de forma predeterminada cuando el directorio LDAP hace lo contrario, según el blog.
Los investigadores de Shadowserver advirtieron el viernes que más de 10.000 cortafuegos Fortinet permanecen sin parchear, a pesar de que la falla original se reveló en julio de 2020.
La vulnerabilidad ha sido explotada por una variedad de actores en los últimos años, incluidos grupos de ransomware rastreados como Play y Hive, así como actores de amenazas vinculados a Irán, según VulnCheck.
«La vulnerabilidad en sí es una falla de control de acceso inadecuado en las VPN SSL de Fortigate que permite el acceso inicial a los entornos de destino, siempre un tipo de vulnerabilidad popular para los atacantes», dijo a Cybersecurity Dive Caitlin Condon, vicepresidenta de investigación de seguridad de VulnC/heck. “Es decepcionante que una vulnerabilidad que tiene más de cinco años todavía se aproveche con éxito en los ataques, pero desafortunadamente no es muy sorprendente.
La compañía pidió a los usuarios que se pongan en contacto si hay evidencia de que puedan haber sido afectados.
Nota del editor: agrega un comentario de VulnCheck.
Fuente