Fortinetは、FG-IR-19-283として知られる脆弱性(CVE-2020-12812)が最近悪用されていることを報告しました。この欠陥は2020年7月に公開されたものです。問題は特定の構成が存在する場合にのみ発生し、FortiGateデバイスにおけるLDAP認証プロセスに関係します。
同社が公開した技術分析によると、この脆弱性はユーザー名の扱いにおける挙動の違いに起因します。FortiGateはデフォルトで大文字と小文字を区別しますが、LDAPシステムはユーザー名を大文字小文字を区別しないものとして扱います。
この不一致により、特定のシナリオでは、二要素認証が有効なLDAPユーザーが第2要素を回避してLDAP経由で直接認証し、ローカルアカウントに設定された制限をバイパスできる可能性があります。
この問題が発生するには、ユーザーがFortiGate上で2FAを有効にしてローカル設定されており、同じアカウントがLDAPサーバー上で定義されたグループにも所属している必要があります。さらに、これらのグループのうち少なくとも1つが認証ポリシー内で使用されている必要があり、たとえばVPNアクセスや管理者アクセスなどが該当します。
ユーザーがローカルのものと完全に一致するユーザー名でアクセスした場合、システムは正しく二要素認証のトークンを要求します。しかし、大文字小文字が異なる名前のバリエーションを使用すると、FortiGateはそのアクセスをローカルアカウントに関連付けません。
この状況では、ファイアウォールは他に設定されているポリシーを評価し、有効な第2のLDAPグループを見つける可能性があります。認証情報が正しければ、第2要素がなくてもアクセスが許可され、ローカルユーザーのセキュリティ設定が無視されます。
Fortinetは、この挙動によりVPNユーザーや管理者が保護されないままアクセスできてしまう可能性があると警告し、そのような場合は環境が侵害されたものと見なして、LDAPまたはActive Directoryのバインドに使用するものを含め、認証情報を完全に再設定することを推奨しています。
リスクを軽減するため、同社はFortiOS 6.0.10、6.2.4、6.4.1以降で修正を導入しました。さらに新しいバージョンでは、ユーザー名の大文字小文字の区別を無効化でき、自動的に他のLDAP構成へ切り替わることを防ぎ、認証バイパスのリスクを低減できます。