同社は12月、2020年の脆弱性を狙った最近の攻撃について警告した。
Fortinetがレガシーな欠陥が再び攻撃を受けていると開示したことを受け、研究者らは数千のFortinetインスタンスが悪用のリスクにさらされていると警告している。
この脆弱性はCVE-2020-12812として追跡されており、特定の構成で運用されている場合、ここ数週間にわたり実環境で悪用されている。これはクリスマスイブに公開されたFortinetのブログによる。
元の欠陥は、FortiOSのSSL VPNにおける不適切な認証の脆弱性に関連しており、ユーザーが第2要素の入力を求められることなくログインできてしまう可能性があった。
Fortinetによると、特定の構成下では、FortiGateがLightweight Directory Access Protocol(LDAP)ユーザーに対し二要素認証を回避させ、代わりにLDAPに対して直接認証できるようにしてしまう場合があるという。同社は、これはLDAPディレクトリの挙動の違いによるものだと述べた。
ブログによれば、この挙動は、LDAPディレクトリがそうではないのに対し、FortiGateが既定でユーザー名を大文字・小文字を区別するものとして扱うことに関連している。
Shadowserverの研究者らは金曜日、2020年7月に元の欠陥が開示されたにもかかわらず、1万台を超えるFortinetのファイアウォールが未修正のままだと警告した。
同社は、影響を受けた可能性を示す証拠がある場合は連絡するようユーザーに求めた。
