Cyber Security News rapporte début janvier 2026 que The Shadowserver Foundation a ajouté la vulnérabilité Fortinet CVE-2020-12812 à son rapport quotidien des services HTTP vulnérables, confirmant plus de 10 000 pare-feu FortiGate exposés dans le monde, alors que Fortinet a reconnu une exploitation active fin 2025.
La faille CVE-2020-12812 (score CVSS 7.5 – High) affecte les portails FortiOS SSL VPN (versions 6.4.0, 6.2.0 à 6.2.3, et 6.0.9 et antérieures) et permet un contournement du MFA. Un attaquant peut se connecter en modifiant simplement la casse du nom d’utilisateur (ex. “user” → “User”) en raison d’un décalage de sensibilité à la casse entre FortiGate (utilisateurs locaux sensibles à la casse) et des serveurs LDAP tels qu’Active Directory (souvent insensibles à la casse), ce qui autorise l’authentification par appartenance à un groupe sans demander le deuxième facteur. La vulnérabilité figure depuis 2021 au catalogue CISA KEV après un usage par des acteurs de ransomware.
Fortinet a publié en décembre 2025 une mise à jour PSIRT (FG-IR-19-283) évoquant un abus récent lié à des configurations spécifiques: utilisateurs locaux sur FortiGate avec MFA activé, liés à LDAP, et membres de groupes LDAP mappés à des politiques d’authentification pour SSL VPN, IPsec ou l’accès admin. Des acteurs ont exploité ce schéma pour obtenir un accès non autorisé au réseau interne.
Les scans de Shadowserver confirment la persistance de l’exposition. Plus de 10 000 instances vulnérables sont visibles début janvier 2026, avec les pays les plus touchés:
- États-Unis: ~1,3K
- Thaïlande: 909
- Taïwan: 728
- Japon: 462
- Chine: 462 Une carte mondiale montre des foyers denses en Amérique du Nord, Asie de l’Est et Europe. Shadowserver scrute les services HTTP exposés sur les ports concernés.
Fortinet recommande de migrer vers des versions corrigées (FortiOS 6.0.10+, 6.2.4+, 6.4.1+) et de vérifier les configurations pour éviter les montages hybrides local‑LDAP avec MFA. Le média relaie aussi: restreindre l’exposition SSL VPN, appliquer le moindre privilège, et surveiller les journaux pour repérer des tentatives de connexion avec variantes de casse; s’abonner aux rapports de Shadowserver et lancer les scans Vulnerable HTTP. Article: article de presse spécialisé visant à alerter sur une vulnérabilité toujours exploitée et l’exposition persistante. 🔒🚨
TTPs observées/rapportées:
- Contournement MFA via variation de casse du nom d’utilisateur sur SSL VPN
- Exploitation d’un écart de sensibilité à la casse entre FortiGate et les annuaires LDAP/AD
- Accès initial via portail SSL VPN (aussi mappé à IPsec/admin selon politiques)
- Mouvement ultérieur possible au sein du réseau interne
🔗 Source originale : https://cybersecuritynews.com/fortinet-firewalls-exposed/
🖴 Archive : https://web.archive.org/web/20260106100302/https://cybersecuritynews.com/fortinet-firewalls-exposed/