Fortinetは、脅威アクターが依然として、脆弱なFortiGateファイアウォールを標的にする際に二要素認証(2FA)を回避できる重大なFortiOSの脆弱性を積極的に悪用しているとして、顧客に警告しました。
CVE-2020-12812として追跡されているこの不適切な認証に関するセキュリティ欠陥は、FortiGateのSSL VPNで見つかったもので、ユーザー名の大文字・小文字を変更することで、未パッチのファイアウォールに対して二要素目の認証(FortiToken)を求められることなくログインできるようにします。
「これは、『user local』設定で二要素認証が有効になっており、かつそのユーザーの認証タイプがリモート認証方式(例:ldap)に設定されている場合に発生します」と、Fortinetは2020年7月にこの脆弱性を修正した際に説明しました。「この問題は、ローカル認証とリモート認証の間で大文字・小文字の区別に関する照合が一貫していないために存在します」
Fortinetは2020年7月に、この欠陥に対処するためFortiOS 6.4.1、6.2.4、6.0.10をリリースし、セキュリティ更新を適用できないIT管理者に対しては、2FAバイパス問題を回避するためユーザー名の大文字・小文字の区別を無効にするよう助言しました。
先週、同社は、攻撃者がLDAP(Lightweight Directory Access Protocol)が有効なファイアウォールを標的にし、CVE-2020-12812を実環境で依然として悪用していると顧客に警告しました。
ただし、これらの継続中の攻撃に対して脆弱となるには、組織側で、二要素認証(2FA)を要求しLDAPにリンクされたローカルユーザーエントリがFortiGate上に存在している必要があります。さらに、これらのユーザーはLDAPグループに所属している必要があり、そのLDAPグループもFortiGate上で設定されていなければなりません。
「Fortinetは、特定の構成に基づき、2020年7月の脆弱性FG-IR-19-283 / CVE-2020-12812が実環境で最近悪用されていることを確認しました」と、同社は述べています。
「この状況が起こり得る要因の一つは、ローカルLDAP認証が失敗した場合に使用されるセカンダリLDAPグループの誤設定です。セカンダリLDAPグループが不要であれば削除すべきです。LDAPグループをまったく使用していない場合、LDAPグループ経由の認証は不可能であり、ユーザー名がローカルエントリと一致しなければ認証に失敗します」
2021年4月、FBIとCISAは、国家支援のハッカーがFortinet FortiOSインスタンスを攻撃していると警告し、CVE-2020-12812を悪用して2FAを回避するものを含む複数の脆弱性を標的としたエクスプロイトが使用されているとしました。
その7か月後の2021年11月、CISAはCVE-2020-12812を「既知の悪用されている脆弱性」カタログに追加し、ランサムウェア攻撃で悪用されているとしてタグ付けするとともに、連邦機関に対し2022年5月までにシステムを保護するよう命じました。
Fortinetの脆弱性は攻撃で頻繁に悪用されており、しばしばゼロデイ脆弱性として利用されます。たとえば11月には、同社は攻撃で積極的に悪用されているFortiWebのゼロデイ(CVE-2025-58034)について警告しました。これは、広範な攻撃で悪用されていた2つ目のFortiWebゼロデイ(CVE-2025-64446)を同社が密かに修正していたことを確認してから1週間後のことでした。
