Una sola mayúscula puede poner en jaque toda la red corporativa: una vieja vulnerabilidad de Fortinet vuelve al punto de mira de los hackers
Una configuración errónea de los grupos LDAP convierte la autenticación de dos factores en un mero adorno
Fortinet advirtió a los administradores que en ataques reales volvió a detectarse el abuso de la vulnerabilidad FG-IR-19-283 (CVE-2020-12812), conocida desde julio de 2020: con determinadas configuraciones de FortiGate se puede eludir la autenticación de dos factores y acceder como si la autenticación de dos factores no existiera. La empresa describe el mecanismo de elusión y explica cómo comprobar rápidamente si su configuración pertenece al grupo de riesgo.
La esencia del problema es que FortiGate, por defecto, considera los nombres de usuario sensibles a mayúsculas y minúsculas, mientras que el directorio LDAP no lo es. Debido a esa diferencia, el dispositivo puede no reconocer al usuario si introduce el identificador con otra combinación de mayúsculas y minúsculas, y entonces comenzará a buscar métodos alternativos de autenticación según otras reglas que el administrador haya activado en las políticas de acceso.
El escenario en el que surge la vulnerabilidad depende de la combinación de cuentas locales en FortiGate con 2FA activado y enlazadas a LDAP, así como del uso de grupos LDAP en las políticas de autenticación (por ejemplo, para acceso administrativo o para VPN SSL/IPsec). A partir de ahí todo se reduce a un inicio de sesión «parecido pero distinto»: si el usuario entra en la VPN como jsmith, FortiGate encuentra la cuenta local y solicita el token.
Pero si la misma persona (o un atacante con su contraseña) introduce Jsmith, jSmith o cualquier otra combinación que no coincida en mayúsculas y minúsculas con la entrada local, FortiGate no asocia el inicio de sesión con el usuario local y cambia a otras opciones —por ejemplo, a la autenticación mediante un segundo grupo LDAP configurado de forma independiente. Con credenciales correctas, el acceso se realiza ya a través de LDAP, y configuraciones del usuario local como 2FA o incluso una cuenta deshabilitada pueden ser efectivamente ignoradas.
Como resultado, administradores o usuarios de VPN pueden autenticarse sin el segundo factor. Fortinet subraya por separado: si hay motivos para pensar que la elusión ya se ha utilizado, la configuración del sistema debe considerarse comprometida y después restablecerse todas las credenciales, incluidas las que se usan para la vinculación a LDAP/AD.
La protección contra este comportamiento se añadió ya en 2020: los cambios correspondientes se incluyeron en FortiOS 6.0.10, 6.2.4 y 6.4.1. Si por alguna razón no es posible actualizar a esas versiones (y posteriores), Fortinet recomienda desactivar explícitamente la sensibilidad a mayúsculas para los inicios de sesión de las cuentas locales. En ramas anteriores esto se hace ajustando username-case-sensitivity a disable, y en versiones más recientes (a partir aproximadamente de FortiOS 6.0.13, 6.2.10, 6.4.7, 7.0.1 y superiores) se usa el parámetro username-sensitivity con valor disable. Tras ello FortiGate considerará jsmith, JSmith y cualquier variante de escritura como el mismo usuario, lo que impedirá que el dispositivo caiga en una autenticación LDAP alternativa por causa de la discrepancia en el uso de mayúsculas.
Fortinet señala además la raíz del problema desde un punto de vista práctico: la situación suele ser posible por un grupo LDAP secundario que recoge la autenticación cuando la verificación del usuario local falla. Si ese grupo no es necesario para la operación, conviene eliminarlo de la configuración. Y si los grupos LDAP no se usan en las políticas de autenticación en absoluto, no quedará una vía de elusión a través de un grupo LDAP: ante la falta de coincidencia con la entrada local, la autenticación simplemente concluirá en rechazo.