利用老旧FortiOS漏洞绕过身份验证

在网络安全领域，漏洞是持续存在的隐患，而忽视旧有漏洞可能会带来严重后果。近期一个五年前的Fortinet FortiOS SSL VPN漏洞（标识为 CVE-2020-12812）被活跃利用，即为一个鲜明的例子。该漏洞允许攻击者在特定条件下绕过双因素身份验证（2FA），突显了及时打补丁和配置强健安全策略的重要性。

根本原因

CVE-2020-12812 的根本原因在于FortiOS与轻量级目录访问协议（LDAP）配置之间对用户名大小写敏感性的处理不一致。具体来说，FortiOS默认将用户名视为大小写敏感，而LDAP则不敏感。当本地2FA用户同时也是身份验证策略中使用的LDAP组成员时，可以利用这种差异。如果用户输入的用户名大小写与本地存储的不一致，FortiGate可能无法匹配到本地2FA用户，转而直接通过LDAP进行身份验证，从而绕过了2FA要求。

影响与利用潜力

此漏洞的影响重大，因为成功利用后，攻击者可以未经授权访问本应受2FA保护的系统。这可能导致一系列恶意活动，包括数据泄露、系统被攻陷以及勒索软件部署。该漏洞的 CVSS评分为9.8分，反映了其严重程度。美国网络安全和基础设施安全局（CISA）也已将此CVE列入其 KEV目录。

战术、技术与程序（TTPs）

攻击者正在积极利用此漏洞获取目标系统的初始访问权限。主要战术是绕过2FA这一常见的安全措施。具体使用的技术是：

• TA0001 - 初始访问：攻击者利用该漏洞获取目标网络的初始立足点。
• T1078 - 有效账户：通过利用大小写敏感性问题，攻击者可以使用有效账户获得未经授权的访问权限。

受影响产品

该漏洞影响以下FortiOS版本：

• FortiOS 6.4.0
• FortiOS 6.2.0 至 6.2.3
• FortiOS 6.0.9 及更早版本

需要注意的是，使用专为安全构建的处理器和FortiGuard实验室威胁情报安全服务的FortiGate下一代防火墙也受到影响。

缓解措施与建议

为降低 CVE-2020-12812 带来的风险，组织应采取以下步骤：

• 应用补丁：升级到已修补的FortiOS版本。Fortinet已于2020年7月在 FortiOS 6.0.10、6.2.4 和 6.4.1 中修复了该漏洞。
• 禁用用户名大小写敏感：对于无法立即应用补丁的组织，可以使用以下命令作为临时解决方案：
  • 对于 FortiOS 6.0.13 之前的版本，使用：set username-case-sensitivity disable
  • 对于 FortiOS 6.0.13、6.2.10、6.4.7、7.0.1 及更新版本，使用：set username-sensitivity disable

禁用用户名大小写敏感可确保FortiGate将所有大小写变体的用户名视为相同，从而防止绕过2FA。

现实世界观察

CVE-2020-12812 的利用已在多起现实世界的攻击中被观察到。FBI 和 CISA 在2021年4月发布联合警报，警告APT组织正在利用此漏洞及其他Fortinet漏洞。此外，已观察到与伊朗有关的APT组织及Hive勒索软件运营商在各种攻击中利用此漏洞。与伊朗有关的COBALT MIRAGE APT组织也被发现利用了 CVE-2020-12812。

使用Saner补丁管理即时修复风险

Saner补丁管理是一款持续、自动化、集成的软件，可即时修复在野被利用的风险。该软件支持Windows、Linux和macOS等主要操作系统，以及550多个第三方应用程序。 它还允许您设置一个安全的测试区域，以便在主要生产环境中部署之前测试补丁。Saner补丁管理还支持在补丁失败或系统故障时进行补丁回滚。 在此体验最快、最准确的补丁软件。