A Fortinet figyelmeztetést adott ki, miszerint aktív támadások során kihasználják a FortiOS SSL VPN egy régi, már 2020-ban feltárt sérülékenységét, amely lehetővé teszi a kétfaktoros hitelesítés (2FA) megkerülését bizonyos konfigurációk esetén.
A vállalat 2025. december 24-én közzétett közleménye szerint a CVE-2020-12812 azonosítójú hiba „friss visszaélések” tárgyát képezi, annak ellenére, hogy a javítás közel öt éve elérhető. A sebezhetőség kihasználása jogosulatlan hozzáférést biztosíthat adminisztrátori felületekhez és VPN-szolgáltatásokhoz – éppen azokhoz a pontokhoz, amelyek a vállalati hálózat első védelmi vonalát jelentik.
🔍 Hitelesítési logikai hiba a háttérben
A CVE-2020-12812 egy nem megfelelő hitelesítési (improper authentication) sebezhetőség, CVSS pontszáma 5,2, vagyis papíron nem kritikus. A valóságban azonban rendkívül vonzó a támadók számára, mert aláássa a többfaktoros hitelesítés működését.
Az érintett verziók közé tartozik többek között:
- FortiOS 6.0.9 és korábbi
- FortiOS 6.2.0 – 6.2.3
- FortiOS 6.4.0
A probléma gyökere a felhasználónevek kis- és nagybetű kezelésének ellentmondásában rejlik:
- a FortiGate eszközök kis- és nagybetűérzékenyen kezelik a felhasználóneveket,
- míg a legtöbb LDAP könyvtár nem érzékeny a kis- és nagybetűk közti különbségre.
Ez az eltérés kihasználható, ha a 2FA helyi felhasználóra van konfigurálva, de a hitelesítés távoli címtárra (pl. LDAP) támaszkodik.
🧩 Hogyan kerülhető meg a 2FA?
A Fortinet magyarázata szerint a sebezhetőség akkor jelentkezik, ha:
- a FortiGate-en helyi felhasználóra engedélyezett a 2FA,
- a felhasználó LDAP-alapú hitelesítést használ,
- ugyanaz a felhasználó LDAP csoport(ok) tagja, amelyek admin, SSL VPN vagy IPsec VPN szabályokhoz vannak rendelve.
Ebben az esetben elegendő, ha a támadó más kis- vagy nagybetűs írásmóddal adja meg a felhasználónevet (pl. JSmith a jsmith helyett). Ilyenkor:
- a FortiGate nem alkalmazza a helyi 2FA szabályt,
- visszavált LDAP-alapú hitelesítésre,
- és a második faktor megkérése elmarad.
Az eredmény: sikeres belépés 2FA nélkül.
🚨 Megerősített, aktív kihasználás
A Fortinet most először erősítette meg hivatalosan, hogy több támadó csoport aktívan kihasználja ezt a viselkedést éles környezetekben. Bár részleteket nem közöltek az érintett szervezetekről vagy kampányokról, a figyelmeztetés beleillik egy jól ismert mintába.
A CISA korábban már kiemelte a CVE-2020-12812-t azon peremvédelmi sebezhetőségek között, amelyeket:
- kezdeti hozzáférés szerzésére,
- zsarolóvírusos támadások előkészítésére,
- és állami hátterű műveletekben is használtak.
VPN-ek és tűzfalak továbbra is kiemelt célpontok, mert közvetlen átjárást biztosítanak a belső hálózat felé, gyakran internet felől elérhetőek, és sok szervezetnél ritkán auditált konfigurációval futnak.
🩹 Javítások régóta elérhetők – mégis sok a kockázat
A Fortinet már 2020 júliusában javította a hibát az alábbi verziókban:
- FortiOS 6.0.10
- FortiOS 6.2.4
- FortiOS 6.4.1
Ennek ellenére a jelenlegi helyzet azt mutatja, hogy:
- sok szervezet még mindig régi verziót használ, vagy
- a konfiguráció továbbra is lehetővé teszi a megkerülést.
⚙️ Átmeneti mitigáció (ha frissítés nem azonnal lehetséges)
Régebbi FortiOS verziókon:
set username-case-sensitivity disable
Újabb verziókon (6.0.13, 6.2.10, 6.4.7, 7.0.1 és felette):
set username-sensitivity disable
Ez biztosítja, hogy a FortiGate azonosnak tekintse a felhasználónév összes kis- és nagybetűs változatát, és ne essen vissza LDAP-hitelesítésre 2FA nélkül.
További ajánlás:
- az indokolatlan LDAP csoportok eltávolítása az admin/VPN szabályokból,
- az autentikációs útvonalak minimalizálása.
🧠 Tanulság: a 2FA csak annyira erős, amennyire jól van beállítva
A CVE-2020-12812 újraéledése rávilágít egy régóta fennálló problémára:
👉 a régi, „nem kritikusnak” gondolt sebezhetőségek évekig aktív kockázatot jelentenek.
Szakértők szerint a támadók tudatosan keresik az ilyen hibákat, mert:
- sok helyen nem frissítettek,
- a peremvédelmi eszközök ritkán kapnak konfigurációs auditot,
- a szervezetek téves biztonságérzetben élnek a 2FA miatt.
A Fortinet arra kéri ügyfeleit, hogy:
- vizsgálják meg a 2FA nélküli bejelentkezések nyomait,
- szükség esetén reseteljék az érintett hitelesítő adatokat,
- és forduljanak a gyártó támogatásához további iránymutatásért.
🔚 Összegzés
Ez az eset ismét bizonyítja:
a peremvédelmi infrastruktúra a támadók első számú célpontja.
A javítás évekkel ezelőtt megjelent, mégis:
- ma is kihasználják,
- valódi hozzáférést biztosít belső hálózatokhoz,
- és képes kiiktatni egy kritikus védelmi réteget.
A tanulság egyértelmű:
🛑 a frissítés, konfigurációs audit és naplófigyelés nem halogatható.
