Világszerte több mint 10 000 Fortinet tűzfal maradt kitéve egy többfaktoros hitelesítést (MFA) megkerülő sérülékenységnek, amelyet eredetileg még 2020-ban hoztak nyilvánosságra – miközben a hibát aktívan kihasználják a támadók.
A CVE-2020-12812 (más néven FG-IR-19-283) esete jól példázza, hogy az elmaradt frissítések és a bonyolult hitelesítési konfigurációk milyen hosszú távú kockázatot jelentenek a peremvédelmi infrastruktúrák esetében.
Régi hiba, új visszaélések
A sérülékenység a FortiOS SSL VPN komponensében található, amely a FortiGate tűzfalak alapját képezi. A hiba lehetővé teszi, hogy egy támadó egyszerűen a felhasználónév kis- és nagybetűs variálásával megkerülje a másodlagos hitelesítést (például FortiToken MFA-t).
A probléma abból ered, hogy a FortiOS kis- és nagybetűérzékenyen kezeli a helyi felhasználókat, míg az olyan külső címtárak, mint az LDAP vagy az Active Directory, nem érzékenyek a betűméretre.
A sebezhetőség akkor jelentkezik, ha:
- létezik egy helyi felhasználó MFA-val védve,
- a hitelesítés LDAP-ra van delegálva,
- a felhasználó LDAP csoporttag, amely VPN- vagy adminisztrátori szabályhoz van rendelve.
Ilyen esetben például a „JSmith” bejelentkezés nem egyezik meg a helyi „jsmith” felhasználóval, ezért a rendszer LDAP-hitelesítésre esik vissza, és az MFA nem lép életbe.
A hibát a Fortinet már 2020 közepén javította, és a CISA 2021-ben felvette a Known Exploited Vulnerabilities (KEV) listájára, miután zsarolóvírusos támadásokban is megfigyelték.
Aktív kihasználás a gyakorlatban
A Fortinet 2025 decemberének végén új PSIRT közleményben erősítette meg, hogy a sérülékenységet jelenleg is kihasználják, elsősorban olyan rendszereken, ahol a javítás vagy a megfelelő konfiguráció elmaradt.
A támadók célzottan keresik az internet felé nyitott SSL VPN-eket, mivel ezek közvetlen belépési pontot jelentenek a vállalati hálózatokba – éppen ott, ahol az MFA-nak a legerősebb védelmet kellene biztosítania.
Több mint 10 000 érintett tűzfal
A független internetes mérőhálózat, a Shadowserver adatai szerint jelenleg több mint 10 000 Fortinet eszköz érintett világszerte. A legtöbb sebezhető rendszer az Egyesült Államokban található (≈1300), majd Thaiföld, Tajvan, Japán és Kína következik.
Fontos megjegyezni, hogy ezek a számok csak az internet felől elérhető eszközöket fedik le, így a tényleges kitettség ennél jóval nagyobb lehet.
Miért különösen veszélyes ez a hiba?
Bár a CVE-2020-12812 hivatalos súlyossági besorolása adatbázisonként eltér (CVSS 7,5–9,8), az üzleti kockázat kiemelkedően magas, mivel:
- az MFA teljesen megkerülhető,
- az exploit egyszerű és megbízható,
- VPN-hozzáférésen keresztül teljes belső hálózat kompromittálható.
A tapasztalatok szerint a VPN-ek gyakran az első lépcsőt jelentik zsarolóvírusos és APT támadásoknál, ahonnan a támadók oldalirányú mozgással és jogosultságemeléssel folytatják az akciót.
Javasolt védekezési lépések
A Fortinet jelenlegi ajánlásai:
- Azonnali frissítés javított FortiOS verziókra (pl. 6.0.10+, 6.2.4+, 6.4.1+).
- A hitelesítési logika felülvizsgálata, különösen az MFA és LDAP kombinált használata esetén.
További keményítési javaslatok:
- SSL VPN kikapcsolása, ha nincs rá üzleti szükség.
- Adminisztrációs felületek szigorú szegmentálása.
- Naplók figyelése kis- és nagybetűs eltérésekkel próbálkozó bejelentkezésekre, amelyek támadási kísérletet jelezhetnek.
Tanulság: a régi hibák nem „évülnek el”
A CVE-2020-12812 története rávilágít egy alapvető problémára: a sérülékenységek nem tűnnek el attól, hogy régiek. A komplex rendszerek, a frissítések halogatása és a nem átlátható konfigurációk ideális célpontot jelentenek a támadók számára.
A folyamatos megfelelőség-ellenőrzés, az automatizált frissítési folyamatok és a rendszeres konfigurációs audit ma már nem extra biztonsági intézkedések – hanem alapkövetelmények.
