# CVE-2020-12812 > [!critical] Bypass de Autenticação no FortiOS SSL-VPN > CVE-2020-12812 é uma vulnerabilidade de bypass de autenticação no **FortiOS SSL VPN** que permite a um atacante se autenticar sem fornecer a senha correta, bastando inserir o nome de usuário em formato com capitalização incorreta. A falha foi incluída no CISA KEV e explorada por múltiplos grupos de ransomware. ## Visão Geral CVE-2020-12812 é uma falha crítica no componente de autenticação do **FortiOS SSL-VPN**. A vulnerabilidade decorre de uma comparação case-insensitive do nome de usuário durante o processo de autenticação em dois fatores (2FA). Um atacante que conhece um nome de usuário válido pode bypassar completamente a verificação de senha inserindo variações do nome com diferente capitalização. O impacto é severo: acesso completo à VPN SSL corporativa sem credenciais válidas. O grupo **Play Ransomware** foi identificado explorando esta e outras CVEs do FortiOS para obter acesso inicial a redes corporativas antes de executar ataques de ransomware. Fortinet incluiu a falha em múltiplos avisos de segurança posteriores alertando para exploração ativa. A criticidade é amplificada pelo fato de que soluções Fortinet FortiGate são amplamente utilizadas como gateway VPN em médias e grandes empresas, governo e infraestrutura crítica. O comprometimento de uma VPN empresarial representa acesso completo à rede interna. > [!latam] Relevância para Brasil e LATAM > Fortinet é um dos principais fornecedores de segurança de rede no Brasil e América Latina, com vasta base instalada em empresas e governo. CVE-2020-12812 foi incluída em campanhas de ransomware direcionadas a organizações latinoamericanas, com acesso inicial via VPN Fortinet permitindo movimento lateral rápido e cifragem de dados críticos. ## Detalhes Técnicos | Campo | Detalhe | |-------|---------| | Tipo | Authentication Bypass | | Produto | FortiOS SSL-VPN | | Mecanismo | Comparação case-insensitive de nome de usuário em 2FA | | Requisito | Nome de usuário válido (pode ser obtido por OSINT) | | CVSS | 9.8 (Critical) | | CISA KEV | Sim (2021-11-03) | ## TTPs Relacionadas - [[t1078-valid-accounts|T1078 - Valid Accounts]] - [[t1133-external-remote-services|T1133 - External Remote Services]] - [[t1190-exploit-public-facing-application|T1190 - Exploit Public-Facing Application]] - [[t1486-data-encrypted-for-impact|T1486 - Data Encrypted for Impact]] ## Mitigação - Atualizar FortiOS para versão 6.4.1, 6.2.4 ou 6.0.10 (ou superiores) - Habilitar autenticação multifator adicional independente para acesso VPN - Monitorar logs de autenticação SSL-VPN para variações de capitalização de usuários - Restringir acesso VPN por IP de origem onde possível - Implementar [[m1032-multi-factor-authentication|M1032 - Multi-Factor Authentication]] e [[m1051-update-software|M1051 - Update Software]] ## Referências - [Fortinet PSIRT Advisory FG-IR-20-233](https://www.fortiguard.com/psirt/FG-IR-20-233) - [CISA Advisory AA21-322A - Ransomware Exploiting FortiOS](https://www.cisa.gov/news-events/cybersecurity-advisories/aa21-322a) - [CISA KEV - CVE-2020-12812](https://www.cisa.gov/known-exploited-vulnerabilities-catalog) - [NVD - CVE-2020-12812](https://nvd.nist.gov/vuln/detail/CVE-2020-12812)