Fortinet зафіксувала активну експлуатацію старої, але небезпечної вразливості у FortiOS SSL VPN, яка дозволяє обходити двофакторну автентифікацію за певних конфігурацій. Йдеться про CVE-2020-12812 — помилку обробки регістру символів у логінах, що знову використовується зловмисниками для несанкціонованого доступу до VPN та адміністративних облікових записів.
Вразливість CVE-2020-12812 виникає через некоректну перевірку імен користувачів у FortiGate, коли локальні облікові записи з увімкненою 2FA прив’язані до зовнішньої LDAP-автентифікації. FortiOS обробляє імена користувачів як чутливі до регістру, тоді як LDAP-директорії — ні.
У разі, якщо користувач вводить логін з іншою комбінацією великих і малих літер, система не співвідносить його з локальним обліковим записом і переходить до альтернативних політик автентифікації. За наявності неправильно налаштованої LDAP-групи користувач може пройти автентифікацію без другого фактора, навіть якщо 2FA формально ввімкнена.
Fortinet підтвердила, що для успішної експлуатації вразливості необхідне поєднання кількох умов: локальні користувачі з 2FA, інтеграція з LDAP, членство в LDAP-групах та використання цих груп у VPN або адміністративних політиках доступу.
Хоча вразливість була виправлена ще у 2020 році, вона знову опинилася в центрі уваги через активне використання у реальних атаках. Уряд США раніше включав CVE-2020-12812 до переліку вразливостей, які застосовувалися для атак на периметрові мережеві пристрої.
Fortinet випустила оновлення FortiOS 6.0.10, 6.2.4 та 6.4.1 для усунення проблеми, а для новіших версій рекомендує змінити параметри чутливості до регістру імен користувачів. Компанія також радить видалити непотрібні LDAP-групи та перевірити журнали на предмет входів без 2FA.
Історія з CVE-2020-12812 демонструє, що навіть давні вразливості можуть залишатися небезпечними роками, якщо організації не оновлюють системи або допускають складні конфігураційні помилки. Уразливості в механізмах автентифікації особливо критичні, адже вони відкривають прямий шлях до корпоративних мереж без використання експлойтів чи шкідливого ПЗ.
