La semaine dernière, Fortinet a confirmé une exploitation active en cours d’une vulnérabilité de contournement de l’authentification à deux facteurs (2FA) dans ses firewalls FortiGate, affectant plus de 10 000 appareils exposés sur Internet. Cette faille, CVE-2020-12812, datant de 2020, souligne les dangers persistants des correctifs non appliqués dans les environnements de sécurité offensive.
Introduction
Les acteurs de menaces exploitent activement CVE-2020-12812, une vulnérabilité d’authentification incorrecte dans FortiOS SSL VPN, permettant de bypasser complètement la 2FA sous certaines configurations. Avec un score CVSS de 5.2, cette faille n’est pas nouvelle mais reste critique car elle donne un accès VPN immédiat après validation du mot de passe seul, sans alerter l’utilisateur via son second facteur. Fortinet a averti ses clients fin décembre 2025, confirmant des abus réels observés en wild, ce qui place cet événement dans la catégorie actualité générale en cybersécurité avec des implications pour la sécurité offensive. Cette actualité tombe pile dans une période où les attaques sur les gateways VPN explosent, rendant les organisations vulnérables à des intrusions rapides.
Faits Clés :
Mécanisme Technique : Lors de la séquence de login SSL VPN, le firewall valide le nom d’utilisateur et mot de passe mais omet de forcer le challenge MFA, accordant un token de session valide directement. Cela cible les configurations LDAP/RADIUS où la 2FA est censée être obligatoire.
Étendue de l’Exposition : Plus de 10 000 firewalls FortiGate exposés publiquement restent vulnérables, scanés par des acteurs menaçants via banner grabbing et attaques par spray de credentials.
Exploitation en Cours : Observée fin décembre 2025, les attaques combinent phishing ou stuffing de credentials volés pour un accès initial sans bruit, facilitant la latéralisation réseau. Fortinet note une exploitation persistante malgré les patches disponibles depuis 2020.
Analyse:
Cette vulnérabilité met en lumière un problème récurrent en sécurité offensive : les acteurs menaçants priorisent les failles legacy non patchées pour des gains rapides, évitant les zero-days coûteux. Les firewalls Fortinet, largement déployés en entreprise, deviennent des portes d’entrée idéales pour des attaques post-exploitation. L’absence de détection repose sur une validation défaillante de l’état d’authentification, un classique en pentesting que les pros exploitent via Burp ou scripts custom. Comparé à des breaches récentes comme Unleash Protocol ou Inotiv Pharma, cela renforce le besoin d’EDR avancés et de segmentation réseau pour limiter les dommages.
| Aspect | Détails | Impact Potentiel |
|---|---|---|
| CVSS Score | 5.2 (Moyen) | Accès non autorisé VPN |
| Patch Disponible | Depuis 2020 | Exposition prolongée |
| Nombre Vulnérables | >10 000 | Cible massive |
| Vecteur Typique | Credential stuffing + Bypass | Latéralisation rapide |
Les pentesters expérimentés, familiers avec NTLM relay ou Kerberos attacks, reconnaîtront ici un vecteur similaire pour des chaînes d’exploitation AD.
Conclusion
Les implications sont graves : sans patch immédiat, les organisations risquent des breaches massives, avec des coûts en remediation et pertes de données. Cela appelle à une gouvernance stricte des patches et audits réguliers des appliances exposées, aligné sur GRC et conformité comme CMMC. Pour les pros en sécurité offensive, c’est un rappel à prioriser la chasse aux configs vulnérables dans les engagements red team.
No responses yet