Fortinetは先週、FortiOSに存在する5年前の不適切な認証の欠陥が、再び攻撃者の標的になっていると警告した。
CVE-2020-12812として追跡されているこの悪用されているFortiOSの脆弱性は、特定の構成では、ユーザーが二要素認証(2FA)を求められることなく認証できてしまうことに起因する。
Fortinetによると、このセキュリティ上の欠陥は、認証に関するFortiGateとLDAP Directoryの挙動の違いによるものだ。FortiGateはデフォルトでユーザー名を大文字・小文字を区別して扱う一方、LDAP Directoryは区別しない。
攻撃者はユーザー名の大文字・小文字を変更でき、その結果、影響を受けるアプライアンスが第2要素認証(FortiToken)を要求しなくなる。
「これは、『user local』設定で二要素認証が有効になっており、かつそのユーザーの認証タイプがリモート認証方式に設定されている場合に発生します」とFortinetは2020年7月に述べた。
CVE-2020-12812は、ランサムウェアグループや国家支援の脅威アクターによるものを含め、攻撃で悪用されてきたことが知られている。
現在、Fortinetによれば、ハッカーは再びこの脆弱性を悪用して2FAを回避しているが、特定の構成に対してのみだという。Fortinetの最新のアドバイザリより:
この問題を発生させるには、組織に以下の構成が存在している必要があります:
- FortiGate上に、LDAPを参照する2FA付きのローカルユーザーエントリがあること:
- 同じユーザーがLDAPサーバー上のグループのメンバーである必要があること。例:ユーザーjsmithが「Domain Users」「Helpdesk」のメンバーである。
- 二要素ユーザーが所属するLDAPグループの少なくとも1つがFortiGate上に設定されている必要があること(例:「Domain Users」「Helpdesk」)。また、そのグループが認証ポリシーで使用されている必要があり、例えば管理者ユーザー、SSLまたはIPSEC VPNを含む可能性がある。
すべての前提条件が満たされると、攻撃者は管理者またはVPNユーザーの有効なユーザー名を、正確な大文字・小文字の一致ではない任意のものに変更でき、その結果、2FAトークンが要求されなくなる可能性がある。
「これが発生した場合、システム構成は侵害されたものと見なすべきであり、LDAP/ADバインディングで使用されるものを含め、すべての認証情報をリセットすべきです」とFortinetは指摘している。
このセキュリティ欠陥に対する緩和策は、FortiOSのバージョン6.0.10、6.2.4、6.4.1で導入された。組織は悪用を防ぐため、より新しいリリースに更新すべきである。
「username-sensitivityをdisabledに設定すると、FortiGateはjsmith、JSmith、JSMITHおよび考え得るすべての組み合わせを同一として扱い、その結果、誤って構成された別のLDAPグループ設定へのフェイルオーバーを防止します」とFortinetは述べている。
同社はまた、ローカルLDAP認証が失敗した際にセカンダリLDAPグループが設定され使用されている場合にこの問題が発生し得るため、不要であればセカンダリLDAPグループを削除すべきだとも指摘している。
翻訳元: https://www.securityweek.com/fortinet-warns-of-new-attacks-exploiting-old-vulnerability/
