Fortinet cảnh báo lỗ hổng bỏ qua xác thực hai yếu tố (2FA) VPN SSL trên FortiOS

[T-800]

Hôm thứ Tư, Fortinet cho biết họ đã phát hiện "việc lạm dụng gần đây" một lỗ hổng bảo mật đã tồn tại 5 năm trong FortiOS SSL VPN trên thực tế với một số cấu hình nhất định.

Lỗ hổng được đề cập là CVE-2020-12812 (điểm CVSS: 5.2), một lỗ hổng xác thực không đúng cách trong SSL VPN trên FortiOS có thể cho phép người dùng đăng nhập thành công mà không cần yêu cầu xác thực yếu tố thứ hai nếu tên người dùng bị thay đổi chữ hoa chữ thường.

"Điều này xảy ra khi xác thực hai yếu tố được bật trong cài đặt 'người dùng cục bộ' và loại xác thực người dùng đó được đặt thành phương thức xác thực từ xa (ví dụ: LDAP)," Fortinet lưu ý vào tháng 7 năm 2020. "Vấn đề tồn tại do sự không nhất quán trong việc đối khớp phân biệt chữ hoa chữ thường giữa xác thực cục bộ và xác thực từ xa."

Lỗ hổng này kể từ đó đã bị nhiều nhóm tin tặc khai thác triệt để trong thực tế, và chính phủ Mỹ cũng liệt kê nó là một trong nhiều điểm yếu đã bị lợi dụng trong các cuộc tấn công nhắm vào các thiết bị bảo mật vòng ngoài trong năm 2021.

Trong một thông báo mới được ban hành ngày 24 tháng 12 năm 2025, Fortinet lưu ý rằng để kích hoạt thành công lỗ hổng CVE-2020-12812, cần phải có cấu hình sau:

    Các mục nhập người dùng cục bộ trên FortiGate với xác thực hai yếu tố (2FA), tham chiếu ngược lại LDAP.
    Những người dùng đó cần phải là thành viên của cùng một nhóm trên máy chủ LDAP.
    Ít nhất một nhóm LDAP mà người dùng xác thực hai yếu tố là thành viên cần được cấu hình trên FortiGate, và nhóm này cần được sử dụng trong chính sách xác thực, có thể bao gồm ví dụ như người dùng quản trị, SSL hoặc IPSEC VPN.

Nếu các điều kiện tiên quyết này được đáp ứng, lỗ hổng sẽ khiến người dùng LDAP đã cấu hình xác thực hai yếu tố (2FA) bỏ qua lớp bảo mật và thay vào đó xác thực trực tiếp với LDAP, điều này là do FortiGate coi tên người dùng là phân biệt chữ hoa chữ thường, trong khi thư mục LDAP thì không.

"Nếu người dùng đăng nhập bằng 'Jsmith', hoặc 'jSmith', hoặc 'JSmith', hoặc 'jsmiTh' hoặc bất kỳ tên nào KHÔNG khớp chính xác với 'jsmith', thì FortiGate sẽ không đối chiếu thông tin đăng nhập với người dùng cục bộ," Fortinet giải thích. "Cấu hình này khiến FortiGate xem xét các tùy chọn xác thực khác. FortiGate sẽ kiểm tra thông qua các chính sách xác thực tường lửa đã được cấu hình khác."

"Sau khi không tìm thấy người dùng jsmith phù hợp, FortiGate sẽ tìm thấy nhóm phụ được cấu hình 'Auth-Group', và từ đó tìm thấy máy chủ LDAP, và nếu thông tin đăng nhập chính xác, quá trình xác thực sẽ thành công bất kể các thiết lập nào trong chính sách người dùng cục bộ (xác thực hai yếu tố và tài khoản bị vô hiệu hóa)."

Do đó, lỗ hổng này cho phép xác thực người dùng quản trị hoặc người dùng VPN mà không cần xác thực hai yếu tố (2FA). Fortinet đã phát hành FortiOS 6.0.10, 6.2.4 và 6.4.1 để khắc phục sự cố này vào tháng 7 năm 2020. Các tổ chức chưa triển khai các phiên bản này có thể chạy lệnh dưới đây cho tất cả các tài khoản cục bộ để ngăn chặn vấn đề bỏ qua xác thực:

Mã nguồn [Chọn] Expand

set username-case-sensitivity disable
Khách hàng đang sử dụng FortiOS phiên bản 6.0.13, 6.2.10, 6.4.7, 7.0.1 hoặc phiên bản mới hơn được khuyến cáo chạy lệnh sau:

Mã nguồn [Chọn] Expand

set username-sensitivity disable
"Khi tùy chọn phân biệt tên người dùng được đặt thành vô hiệu hóa, FortiGate sẽ coi jsmith, JSmith, JSMITH và tất cả các tổ hợp có thể có là giống nhau và do đó ngăn chặn việc chuyển đổi dự phòng sang bất kỳ thiết lập nhóm LDAP nào khác bị cấu hình sai," công ty cho biết.

Để giảm thiểu rủi ro hơn nữa, nên xem xét việc xóa nhóm LDAP phụ nếu không cần thiết, vì điều này sẽ loại bỏ toàn bộ đường dây tấn công do không thể xác thực thông qua nhóm LDAP và người dùng sẽ không thể xác thực nếu tên người dùng không khớp với một mục nhập cục bộ.

Tuy nhiên, hướng dẫn mới ban hành không nêu rõ bản chất của các cuộc tấn công khai thác lỗ hổng này, cũng như liệu có cuộc tấn công nào thành công hay không. Fortinet cũng khuyên các khách hàng bị ảnh hưởng nên liên hệ với nhóm hỗ trợ của hãng và đặt lại tất cả thông tin đăng nhập nếu phát hiện bằng chứng cho thấy người dùng quản trị hoặc người dùng VPN được xác thực mà không cần xác thực hai yếu tố (2FA).