Mais de dez mil firewalls expostas a falha 2FA

Mais de dez mil firewalls Fortinet permanecem acessíveis na Internet e vulneráveis a ataques que exploram uma falha crítica de bypass de autenticação de dois fatores (2FA), identificada há quase cinco anos como CVE-2020-12812. A informação foi divulgada pelo Shadowserver, que monitoriza atualmente estes dispositivos sem correções aplicadas.

A vulnerabilidade afeta o FortiGate SSL VPN e resulta de um mecanismo de autenticação inadequado. Em sistemas não corrigidos, um atacante consegue autenticar-se sem o segundo fator, o FortiToken, procedenco apenas à alteração da capitalização do nome de utilizador. A falha tem uma classificação de severidade de 9,8 em 10.

A Fortinet disponibilizou correções em julho de 2020, com as versões FortiOS 6.4.1, 6.2.4 e 6.0.10. Na altura, recomendou também que administradores impossibilitados de aplicar atualizações desativassem a sensibilidade a maiúsculas e minúsculas nos nomes de utilizador, como mitigação temporária.

Na semana passada, a Fortinet voltou a alertar para a exploração ativa da vulnerabilidade, indicando que os ataques visam configurações específicas em que o LDAP (Lightweight Directory Access Protocol) está ativo. De acordo com a empresa, foram observados abusos recentes do CVE-2020-12812 em ambientes reais.

Dados do Shadowserver indicam que mais de 1.300 dos endereços IP vulneráveis localizam-se nos Estados Unidos. A persistência destes sistemas expostos demonstra dificuldades contínuas na aplicação de patches em infraestruturas críticas de rede.

A exploração desta falha não é, no entanto, nova. Em abril de 2021, a CISA e o FBI alertaram para campanhas conduzidas por grupos patrocinados por Estados que exploravam múltiplas vulnerabilidades em FortiOS, incluindo o bypass de 2FA. Meses depois, a CISA incluiu o CVE-2020-12812 na lista de vulnerabilidades conhecidas como exploradas, associando-o a ataques ransomware e impondo prazos de mitigação a agências federais norte-americanas.

As vulnerabilidades em produtos Fortinet têm sido alvo frequente de exploração, incluindo casos classificados como zero-day. Em 2025, a empresa alertou para falhas críticas em FortiWeb e FortiOS exploradas ativamente, bem como para ataques atribuídos ao grupo Volt Typhoon, que comprometeu uma rede militar do Ministério da Defesa dos Países Baixos.

Especialistas em segurança alertam que a manutenção de dispositivos expostos e sem correções continua a representar um risco elevado, sobretudo em firewalls e gateways VPN, frequentemente utilizados como ponto de entrada inicial em ataques a redes empresariais.