Selon Fortinet, une ancienne vulnérabilité de FortiOS qui contourne l’authentification sur les pare-feu FortiGate est toujours activement exploitée.
Fortinet avertit que des attaquants exploitent toujours activement une vulnérabilité critique dans FortiOS. Les attaquants contournent l’authentification à deux facteurs sur les pare-feu FortiGate. Il s’agit de CVE-2020-12812, une faille qui a déjà été corrigée en 2020, mais qui est à nouveau exploitée dans des attaques réelles en raison de configurations spécifiques.
Fortigate SSL
La vulnérabilité se trouve dans FortiGate SSL VPN. Elle permet aux attaquants de se connecter sans deuxième facteur d’authentification. Cela se produit en modifiant les majuscules et les minuscules d’un nom d’utilisateur. Cela se produit si l’authentification à deux facteurs est activée pour un utilisateur local, mais que l’authentification passe en fait par une source externe.
Selon Fortinet, les récentes attaques se produisent principalement dans des environnements où les utilisateurs locaux avec 2FA obligatoire sont liés à des groupes LDAP (Lightweight Directory Access Protocol). Le risque augmente encore lorsqu’un deuxième groupe LDAP est configuré comme mécanisme de repli en cas d’échec de l’authentification. Dans ce cas, un attaquant peut toujours accéder. Fortinet affirme que ces configurations sont souvent inutiles et que leur suppression réduit le risque.
Connue depuis des années
Le fait que la vulnérabilité refasse surface n’est pas une surprise. En 2021, le FBI et la CISA ont déjà averti que des acteurs attaquaient les systèmes FortiGate en exploitant CVE-2020-12812. Plus tard, la faille a été ajoutée par la CISA à la liste des vulnérabilités activement exploitées et liée à des campagnes de rançongiciels. Le fait que les attaques soient encore couronnées de succès en 2025 témoigne, selon Fortinet, principalement d’environnements mal entretenus ou mal configurés.
Fortinet souligne que les organisations doivent revoir de toute urgence leurs configurations FortiGate et vérifier si tous les systèmes sont à jour. Ceux qui ne peuvent pas déployer une version récente de FortiOS peuvent utiliser des solutions antérieures, telles que la désactivation de la sensibilité à la casse des noms d’utilisateur et la limitation des dépendances LDAP.