Hôm thứ Tư, Fortinet cho biết họ đã phát hiện “sự lạm dụng gần đây” một lỗ hổng bảo mật đã tồn tại 5 năm trong FortiOS SSL VPN trên thực tế với một số cấu hình nhất định.
Lỗ hổng được đề cập là CVE-2020-12812 (điểm CVSS: 5.2), một lỗ hổng xác thực không đúng cách trong SSL VPN trên FortiOS có thể cho phép người dùng đăng nhập thành công mà không cần yêu cầu xác thực yếu tố thứ hai nếu tên người dùng bị thay đổi chữ hoa chữ thường.
“Điều này xảy ra khi xác thực hai yếu tố được bật trong cài đặt ‘người dùng cục bộ’ và loại xác thực người dùng đó được đặt thành phương thức xác thực từ xa (ví dụ: LDAP),” Fortinet lưu ý vào tháng 7 năm 2020. “Vấn đề tồn tại do sự không nhất quán trong việc khớp chữ hoa chữ thường giữa xác thực cục bộ và từ xa.”
Kể từ đó, lỗ hổng này đã bị nhiều tác nhân đe dọa khai thác tích cực trên thực tế, với chính phủ Hoa Kỳ cũng liệt kê nó là một trong nhiều điểm yếu đã bị lợi dụng trong các cuộc tấn công nhắm vào các thiết bị kiểu biên giới vào năm 2021.
Trong một thông báo mới được ban hành ngày 24 tháng 12 năm 2025, Fortinet lưu ý rằng để kích hoạt thành công lỗ hổng CVE-2020-12812, cần phải có cấu hình sau:
Các mục người dùng cục bộ trên FortiGate với xác thực hai yếu tố (2FA), tham chiếu ngược lại LDAP
Những người dùng đó cần phải là thành viên của một nhóm trên máy chủ LDAP
Ít nhất một nhóm LDAP mà người dùng xác thực hai yếu tố là thành viên cần được cấu hình trên FortiGate, và nhóm đó cần được sử dụng trong chính sách xác thực, có thể bao gồm ví dụ như người dùng quản trị, SSL hoặc IPSEC VPN
Nếu các điều kiện tiên quyết này được đáp ứng, lỗ hổng sẽ khiến người dùng LDAP được cấu hình 2FA bỏ qua lớp bảo mật và thay vào đó xác thực trực tiếp với LDAP, điều này là do FortiGate coi tên người dùng là phân biệt chữ hoa chữ thường, trong khi thư mục LDAP thì không.
“Nếu người dùng đăng nhập bằng ‘Jsmith’, hoặc ‘jSmith’, hoặc ‘JSmith’, hoặc ‘jsmiTh’ hoặc bất kỳ tên nào KHÔNG khớp chính xác với ‘jsmith’, FortiGate sẽ không khớp thông tin đăng nhập với người dùng cục bộ,” Fortinet giải thích. “Cấu hình này khiến FortiGate xem xét các tùy chọn xác thực khác. FortiGate sẽ kiểm tra thông qua các chính sách xác thực tường lửa đã được cấu hình khác.”
“Sau khi không khớp với ‘jsmith’, FortiGate sẽ tìm thấy nhóm thứ cấp đã được cấu hình ‘Auth-Group’, và từ đó tìm thấy máy chủ LDAP, và nếu thông tin đăng nhập chính xác, quá trình xác thực sẽ thành công bất kể các thiết lập nào trong chính sách người dùng cục bộ (xác thực hai yếu tố và tài khoản bị vô hiệu hóa).”
Do đó, lỗ hổng này có thể xác thực người dùng quản trị hoặc người dùng VPN mà không cần xác thực hai yếu tố. Fortinet đã phát hành FortiOS 6.0.10, 6.2.4 và 6.4.1 để khắc phục sự cố này vào tháng 7 năm 2020. Các tổ chức chưa triển khai các phiên bản này có thể chạy lệnh sau cho tất cả các tài khoản cục bộ để ngăn chặn sự cố bỏ qua xác thực:
set username-case-sensitivity disable
Khách hàng đang sử dụng các phiên bản FortiOS 6.0.13, 6.2.10, 6.4.7, 7.0.1 hoặc mới hơn nên chạy lệnh sau:
set username-sensitivity disable
“Khi thiết lập độ nhạy tên người dùng thành vô hiệu hóa, FortiGate sẽ coi jsmith, JSmith, JSMITH và tất cả các tổ hợp có thể là giống nhau và do đó ngăn chặn việc chuyển đổi dự phòng sang bất kỳ thiết lập nhóm LDAP nào khác bị cấu hình sai,” công ty cho biết.
Để giảm thiểu rủi ro hơn nữa, nên xem xét việc xóa Nhóm LDAP phụ nếu không cần thiết, vì điều này sẽ loại bỏ toàn bộ đường dây tấn công do không thể xác thực thông qua nhóm LDAP và người dùng sẽ không thể xác thực nếu tên người dùng không khớp với mục nhập cục bộ.
Tuy nhiên, hướng dẫn mới được ban hành không đưa ra bất kỳ chi tiết cụ thể nào về bản chất của các cuộc tấn công khai thác lỗ hổng này, cũng như liệu bất kỳ sự cố nào trong số đó có thành công hay không. Fortinet cũng khuyên các khách hàng bị ảnh hưởng nên liên hệ với nhóm hỗ trợ của họ và đặt lại tất cả thông tin đăng nhập nếu họ tìm thấy bằng chứng về việc người dùng quản trị hoặc người dùng VPN được xác thực mà không có xác thực hai yếu tố (2FA).
