Пријави инцидент
Пријави инцидент
Преглед на приватноста

Оваа веб-страница користи колачиња за да ви обезбеди најдобро можно корисничко искуство. Информациите за колачињата се складираат во вашиот прелистувач и извршуваат функции како препознавање кога се враќате на нашата веб-страница и им помагаат на нашите програмери да разберат кои делови од веб-страницата ви се најинтересни и најкорисни.

Строго неопходни колачиња

Строго неопходните колачиња треба да бидат овозможени во секое време за да можеме да ги зачуваме вашите поставки за колачиња.

Powered by  GDPR Cookie Compliance

Fortinet предупредува за активна злоупотреба на ранливост за заобиколување на 2FA кај FortiOS SSL VPN

Објавено: 26.12.2025

Fortinet во средата соопшти дека забележал „неодамнешна злоупотреба“ на пет години стара безбедносна ранливост во FortiOS SSL VPN во реални напади, под одредени конфигурации.

Станува збор за ранливоста CVE-2020-12812 (CVSS оценка: 5.2), ранливост поврзана со неправилна автентикација во SSL VPN во FortiOS, која може да му овозможи на корисник успешно да се најави без да биде побаран вториот фактор за автентикација, доколку се промени големината на буквите во корисничкото име.

„Ова се случува кога двофакторската автентикација е овозможена во поставката ‘user local’, а типот на корисничка автентикација е поставен на далечински метод за автентикација (на пример, LDAP),“ наведе Fortinet уште во јули 2020 година. „Проблемот постои поради неконзистентно совпаѓање чувствително на големи и мали букви помеѓу локалната и далечинската автентикација.“

Оттогаш, ранливоста е ставена под активна злоупотреба во реални напади од страна на повеќе заканувачки актери, при што и американската влада ја наведе како една од многуте слабости кои биле вооружени во напади насочени кон периметарски уреди во 2021 година.

Во ново безбедносно соопштение издадено на 24 декември 2025 година, Fortinet наведе дека за успешно активирање на CVE-2020-12812 е потребна следната конфигурација:

  • Локални кориснички записи на FortiGate со вклучена 2FA, кои се поврзуваат назад кон LDAP
  • Истите корисници мора да бидат членови на група на LDAP серверот
  • Најмалку една LDAP група, во која членуваат корисниците со двофакторска автентикација, мора да биде конфигурирана на FortiGate, а групата да се користи во политика за автентикација, што може да вклучува, на пример, администраторски корисници, SSL или IPSEC VPN

Доколку овие предуслови се исполнети, ранливоста предизвикува LDAP корисниците со конфигурирана 2FA да ја заобиколат безбедносната заштита и наместо тоа да се автентицираат директно преку LDAP. Ова е резултат на фактот што FortiGate ги третира корисничките имиња како чувствителни на големи и мали букви, додека LDAP директориумот не го прави тоа.

„Ако корисникот се најави како ‘Jsmith’, ‘jSmith’, ‘JSmith’, ‘jsmiTh’ или било што што НЕ е точно совпаѓање по големина на букви со ‘jsmith’, FortiGate нема да ја совпадне најавата со локалниот корисник,“ објасни Fortinet. „Оваа конфигурација предизвикува FortiGate да разгледа други опции за автентикација. FortiGate ќе ги провери другите конфигурирани политики за автентикација на заштитниот ѕид.“

„Откако нема да успее да го совпадне ‘jsmith’, FortiGate ја наоѓа секундарно конфигурираната група ‘Auth-Group’, а преку неа и LDAP серверот, и доколку акредитивите се точни, автентикацијата ќе биде успешна без оглед на поставките во локалната корисничка политика (2FA и деактивирани сметки).“

Како резултат на ова, ранливоста може да овозможи автентикација на администраторски или VPN корисници без 2FA. Fortinet ги објави верзиите FortiOS 6.0.10, 6.2.4 и 6.4.1 за да го адресира ова однесување уште во јули 2020 година. Организациите кои сè уште не ги имаат инсталирано овие верзии можат да ја извршат наведената команда за сите локални сметки за да го спречат проблемот со заобиколување на автентикацијата –

set username-case-sensitivity disable

Корисниците кои користат FortiOS верзии 6.0.13, 6.2.10, 6.4.7, 7.0.1 или понови се советуваат да ја извршат следната команда –

set username-sensitivity disable

„Со поставување на username-sensitivity на disabled, FortiGate ќе ги третира jsmith, JSmith, JSMITH и сите можни комбинации како идентични и на тој начин ќе спречи префрлување (failover) кон која било друга погрешно конфигурирана LDAP група,“ соопшти компанијата.

Како дополнителна мерка за ублажување, се препорачува да се разгледа отстранување на секундарната LDAP група доколку таа не е неопходна, бидејќи на тој начин целосно се елиминира линијата на напад – нема да биде можна автентикација преку LDAP група, а корисникот нема да помине автентикација доколку корисничкото име не се совпадне со локален запис.

Сепак, во новоиздадените насоки не се дадени конкретни детали за природата на нападите што ја злоупотребуваат оваа ранливост, ниту пак дали некој од тие инциденти бил успешен. Fortinet исто така им советува на засегнатите корисници да стапат во контакт со неговиот тим за поддршка и да ги ресетираат сите акредитиви доколку пронајдат докази дека администраторски или VPN корисници биле автентицирани без 2FA.

Извори:

  • The Hacker News – Fortinet Warns of Active Exploitation of FortiOS SSL VPN 2FA Bypass Vulnerability The Hacker News