Fortinet vào thứ Tư đã cho biết họ đã quan sát thấy "việc lạm dụng gần đây" một lỗ hổng bảo mật đã tồn tại năm năm trong FortiOS SSL VPN trong thực tế, dưới một số cấu hình nhất định.
Lỗ hổng được đề cập là CVE-2020-12812 (điểm CVSS: 5.2), một lỗ hổng xác thực không đúng cách trong SSL VPN của FortiOS có thể cho phép người dùng đăng nhập thành công mà không cần nhắc nhở về yếu tố xác thực thứ hai nếu trường hợp tên người dùng bị thay đổi.
"Điều này xảy ra khi two-factor authentication được bật trong cài đặt 'user local', và loại xác thực người dùng đó được đặt thành một phương pháp xác thực từ xa (ví dụ: LDAP)," Fortinet lưu ý vào tháng 7 năm 2020. "Vấn đề tồn tại do sự không nhất quán trong việc so khớp phân biệt chữ hoa chữ thường giữa xác thực cục bộ và từ xa."
Lỗ hổng này kể từ đó đã bị khai thác tích cực trong thực tế bởi nhiều tác nhân đe dọa, với chính phủ Hoa Kỳ cũng liệt kê nó là một trong nhiều điểm yếu đã được vũ khí hóa trong các cuộc tấn công nhắm vào các thiết bị kiểu vành đai vào năm 2021.
Trong một khuyến cáo mới được ban hành vào ngày 24 tháng 12 năm 2025, Fortinet lưu ý rằng để kích hoạt thành công CVE-2020-12812, cần phải có cấu hình sau:
- Các mục nhập người dùng cục bộ trên FortiGate với 2FA, tham chiếu trở lại LDAP
- Cùng một người dùng cần là thành viên của một nhóm trên máy chủ LDAP
- Ít nhất một nhóm LDAP mà người dùng two-factor là thành viên cần được cấu hình trên FortiGate, và nhóm đó cần được sử dụng trong một chính sách xác thực có thể bao gồm ví dụ người dùng quản trị, SSL, hoặc IPSEC VPN
Nếu các điều kiện tiên quyết này được thỏa mãn, lỗ hổng sẽ khiến người dùng LDAP đã cấu hình 2FA bỏ qua lớp bảo mật và thay vào đó xác thực trực tiếp với LDAP, điều này, đến lượt nó, là kết quả của việc FortiGate xử lý tên người dùng có phân biệt chữ hoa chữ thường, trong khi Thư mục LDAP thì không.
"Nếu người dùng đăng nhập bằng 'Jsmith', hoặc 'jSmith', hoặc 'JSmith', hoặc 'jsmiTh' hoặc bất kỳ chuỗi nào KHÔNG khớp chính xác về chữ hoa chữ thường với 'jsmith', FortiGate sẽ không khớp đăng nhập với người dùng cục bộ," Fortinet giải thích. "Cấu hình này khiến FortiGate xem xét các tùy chọn xác thực khác. FortiGate sẽ kiểm tra qua các chính sách xác thực tường lửa đã cấu hình khác."
"Sau khi không khớp jsmith, FortiGate tìm thấy nhóm cấu hình thứ cấp 'Auth-Group', và từ đó là máy chủ LDAP, và với điều kiện thông tin đăng nhập là chính xác, xác thực sẽ thành công bất kể bất kỳ cài đặt nào trong chính sách người dùng cục bộ (2FA và tài khoản bị vô hiệu hóa)."
Kết quả là, lỗ hổng có thể xác thực người dùng admin hoặc VPN mà không cần 2FA. Fortinet đã phát hành FortiOS 6.0.10, 6.2.4 và 6.4.1 để khắc phục hành vi này vào tháng 7 năm 2020. Các tổ chức chưa triển khai các phiên bản này có thể chạy lệnh dưới đây cho tất cả các tài khoản cục bộ để ngăn chặn vấn đề bỏ qua xác thực:
set username-case-sensitivity disableKhách hàng đang sử dụng các phiên bản FortiOS 6.0.13, 6.2.10, 6.4.7, 7.0.1 hoặc mới hơn được khuyến cáo chạy lệnh sau:
set username-sensitivity disable"Với username-sensitivity được đặt thành disabled, FortiGate sẽ coi jsmith, JSmith, JSMITH và tất cả các tổ hợp có thể có là giống hệt nhau và do đó ngăn chặn việc chuyển đổi sang bất kỳ cài đặt nhóm LDAP nào khác bị cấu hình sai," công ty cho biết.
Là biện pháp giảm thiểu bổ sung, đáng xem xét việc xóa nhóm LDAP thứ cấp nếu không cần thiết, vì điều này loại bỏ toàn bộ chuỗi tấn công do không thể xác thực thông qua nhóm LDAP, và người dùng sẽ không xác thực được nếu tên người dùng không khớp với một mục nhập cục bộ.
Tuy nhiên, hướng dẫn mới ban hành không cung cấp bất kỳ chi tiết cụ thể nào về bản chất của các cuộc tấn công khai thác lỗ hổng này, cũng như liệu có bất kỳ sự cố nào trong số đó thành công hay không. Fortinet cũng đã khuyên khách hàng bị ảnh hưởng liên hệ với nhóm hỗ trợ của họ và đặt lại tất cả thông tin đăng nhập nếu họ tìm thấy bằng chứng về việc người dùng admin hoặc VPN được xác thực mà không cần 2FA.
