Oltre 10.000 firewall Fortinet rimangono esposti in rete e vulnerabili a una falla critica di bypass dell'autenticazione a due fattori scoperta cinque anni fa. Nonostante le patch siano disponibili dal luglio 2020, migliaia di dispositivi FortiGate continuano a essere bersaglio di attacchi attivi che sfruttano questa debolezza sistemica. La situazione evidenzia un problema cronico nella gestione delle infrastrutture di sicurezza aziendale, dove l'applicazione delle correzioni critiche viene troppo spesso procrastinata con conseguenze potenzialmente devastanti.
La vulnerabilità in questione, catalogata come CVE-2020-12812, presenta un punteggio di gravità di 9.8 su 10 nella scala CVSS. Il difetto riguarda specificamente il sistema SSL VPN dei dispositivi FortiGate e consente agli attaccanti di aggirare completamente il secondo fattore di autenticazione (FortiToken) semplicemente modificando il case delle lettere nel nome utente durante il login. Un meccanismo di attacco tanto semplice quanto devastante, che vanifica uno dei pilastri della sicurezza moderna: l'autenticazione multifattore.
Fortinet aveva rilasciato le versioni corrette FortiOS 6.4.1, 6.2.4 e 6.0.10 già nel luglio 2020, fornendo anche una workaround temporanea per gli amministratori impossibilitati ad applicare immediatamente le patch: disabilitare la sensibilità al case dei nomi utente. Tuttavia, la settimana scorsa l'azienda ha dovuto emettere un nuovo avviso di sicurezza confermando che gli attaccanti continuano a sfruttare attivamente questa falla, prendendo di mira in particolare configurazioni che utilizzano LDAP (Lightweight Directory Access Protocol) per l'autenticazione.
I dati forniti venerdì scorso da Shadowserver, organizzazione di monitoraggio della sicurezza Internet, dipingono un quadro allarmante. La loro telemetria identifica attualmente più di 10.000 firewall Fortinet esposti pubblicamente che non hanno ancora ricevuto le correzioni contro CVE-2020-12812. La distribuzione geografica vede una concentrazione significativa negli Stati Uniti con oltre 1.300 dispositivi vulnerabili, ma il problema ha dimensioni globali che interessano anche infrastrutture europee e italiane.
La storia di questa vulnerabilità si intreccia con avvertimenti ripetuti da parte delle autorità di cybersicurezza. Nell'aprile 2021, CISA e FBI avevano lanciato l'allarme segnalando che gruppi di hacking sponsorizzati da stati nazionali stavano sfruttando attivamente CVE-2020-12812 insieme ad altre falle di FortiOS. Sette mesi dopo, la CISA inseriva formalmente questa vulnerabilità nel proprio catalogo delle falle sfruttate attivamente, collegandola esplicitamente ad attacchi ransomware e ordinando alle agenzie federali statunitensi di mettere in sicurezza i propri sistemi entro maggio 2022.
Il caso si inserisce in un pattern preoccupante che vede i prodotti Fortinet frequentemente nel mirino degli attaccanti, spesso attraverso vulnerabilità zero-day. Solo a dicembre 2024, la società di cybersicurezza Arctic Wolf aveva documentato lo sfruttamento attivo di CVE-2025-59718, un'altra falla critica di bypass dell'autenticazione che permetteva il dirottamento degli account amministrativi tramite login SSO malevoli. Un mese prima, Fortinet aveva dovuto ammettere lo sfruttamento di due zero-day in FortiWeb (CVE-2025-58034 e CVE-2025-64446), con il secondo scoperto essere stato patchato silenziosamente dopo attacchi su larga scala.
Ancora più significativo dal punto di vista geopolitico è quanto emerso a febbraio 2025, quando Fortinet ha confermato che il gruppo di minacce cinese Volt Typhoon aveva sfruttato due vulnerabilità di FortiOS (CVE-2023-27997 e CVE-2022-42475) per compromettere una rete militare del Ministero della Difesa olandese, installando il malware custom Coathanger per l'accesso remoto persistente.
La persistenza di CVE-2020-12812 come vettore di attacco attivo dopo cinque anni solleva questioni fondamentali sulla gestione del ciclo di vita delle patch nelle organizzazioni. Le ragioni dell'inadempienza possono essere molteplici: procedure di change management eccessivamente complesse, timore di interruzioni operative, mancanza di visibilità sugli asset esposti o semplicemente negligenza organizzativa. Per le aziende europee e italiane, il problema si complica ulteriormente alla luce delle normative come NIS2 che impongono requisiti stringenti sulla gestione della sicurezza delle infrastrutture critiche.
Gli amministratori che gestiscono dispositivi FortiGate dovrebbero verificare immediatamente la versione di FortiOS in esecuzione e pianificare l'aggiornamento alle release corrette. Nel caso in cui l'applicazione immediata delle patch non sia praticabile, la disabilitazione della case-sensitivity per i nomi utente rappresenta una mitigazione temporanea essenziale. La lezione più ampia riguarda la necessità di processi automatizzati per il vulnerability management e il patch deployment, strumenti indispensabili per mantenere il passo con un panorama delle minacce sempre più dinamico e aggressivo.
