Компания Fortinet в среду выпустила официальное предупреждение, касающееся безопасности шлюзов FortiOS SSL VPN. Специалисты зафиксировали случаи «недавнего злоупотребления» в реальных условиях, направленного на эксплуатацию уязвимости пятилетней давности. Проблема актуальна для систем с определенными конфигурациями и требует немедленного вмешательства администраторов безопасности.
Уязвимость, получившая идентификатор CVE-2020-12812, была обнаружена пять лет назад и имеет оценку 5.2 балла по шкале CVSS. Она классифицируется как ошибка некорректной аутентификации. Главным последствием эксплуатации данного бага является возможность обхода двухфакторной аутентификации (2FA). Это позволяет злоумышленникам авторизоваться в системе под видом администраторов или VPN-пользователей без прохождения второго этапа проверки личности.
Техническая причина кроется в специфических условиях настройки оборудования. Уязвимость проявляется, если двухфакторная аутентификация включена в режиме «user local», а тип аутентификации пользователя установлен на удаленный метод, например, LDAP. Корень проблемы заключается в несогласованности регистрозависимого сопоставления (case-sensitive matching) между локальными и удаленными механизмами проверки.
Процесс атаки начинается с того, что хакер изменяет регистр символов в имени пользователя. Вместо точного ввода, например, «jsmith», злоумышленник использует варианты «Jsmith», «jSmith» или «jsmiTh». Из-за несоответствия регистра шлюз FortiGate не может сопоставить введенные данные с локальным пользователем и переходит к проверке политик аутентификации брандмауэра.
Далее система обнаруживает вторичную настроенную группу «Auth-Group» и обращается к серверу LDAP. Если учетные данные верны, аутентификация считается успешной. В результате этого процесса система игнорирует настройки внутри локальной политики пользователя. Это приводит к критическому сбою безопасности: злоумышленник обходит требование 2FA, а также может получить доступ к учетным записям, которые были отключены администратором.
Впервые Fortinet сообщила об этой проблеме в июле 2020 года. Позднее, в 2021 году, правительство США внесло CVE-2020-12812 в список уязвимостей, используемых в качестве кибероружия при атаках на периферийные устройства. В настоящее время несколько хакерских группировок активно эксплуатируют этот дефект в дикой природе. Новое руководство вендора не содержит деталей о специфике текущих атак или подтвержденных фактах недавних взломов.
Для устранения угрозы необходимо использовать исправленные версии программного обеспечения, выпущенные еще в июле 2020 года. Патчи включены в FortiOS версий 6.0.10, 6.2.4 и 6.4.1. В документации по мерам защиты также упоминаются версии 6.0.13, 6.2.10, 6.4.7 и 7.0 как релевантные для обеспечения безопасности.
Помимо обновления ПО, существуют конфигурационные методы защиты. Рекомендуется удалить вторичную группу LDAP, если она не является необходимой. Это действие устраняет вектор атаки, так как пользователи не смогут пройти аутентификацию при несовпадении имени с локальной записью. Также возможно применение специальных команд CLI для настройки локальных аккаунтов.
В случае обнаружения доказательств того, что администраторы или VPN-пользователи входили в систему без второго фактора, следует немедленно сбросить все учетные данные. Организациям, столкнувшимся с подобной активностью, необходимо связаться со службой поддержки Fortinet для проведения расследования инцидента.
Изображение носит иллюстративный характер
Уязвимость, получившая идентификатор CVE-2020-12812, была обнаружена пять лет назад и имеет оценку 5.2 балла по шкале CVSS. Она классифицируется как ошибка некорректной аутентификации. Главным последствием эксплуатации данного бага является возможность обхода двухфакторной аутентификации (2FA). Это позволяет злоумышленникам авторизоваться в системе под видом администраторов или VPN-пользователей без прохождения второго этапа проверки личности.
Техническая причина кроется в специфических условиях настройки оборудования. Уязвимость проявляется, если двухфакторная аутентификация включена в режиме «user local», а тип аутентификации пользователя установлен на удаленный метод, например, LDAP. Корень проблемы заключается в несогласованности регистрозависимого сопоставления (case-sensitive matching) между локальными и удаленными механизмами проверки.
Процесс атаки начинается с того, что хакер изменяет регистр символов в имени пользователя. Вместо точного ввода, например, «jsmith», злоумышленник использует варианты «Jsmith», «jSmith» или «jsmiTh». Из-за несоответствия регистра шлюз FortiGate не может сопоставить введенные данные с локальным пользователем и переходит к проверке политик аутентификации брандмауэра.
Далее система обнаруживает вторичную настроенную группу «Auth-Group» и обращается к серверу LDAP. Если учетные данные верны, аутентификация считается успешной. В результате этого процесса система игнорирует настройки внутри локальной политики пользователя. Это приводит к критическому сбою безопасности: злоумышленник обходит требование 2FA, а также может получить доступ к учетным записям, которые были отключены администратором.
Впервые Fortinet сообщила об этой проблеме в июле 2020 года. Позднее, в 2021 году, правительство США внесло CVE-2020-12812 в список уязвимостей, используемых в качестве кибероружия при атаках на периферийные устройства. В настоящее время несколько хакерских группировок активно эксплуатируют этот дефект в дикой природе. Новое руководство вендора не содержит деталей о специфике текущих атак или подтвержденных фактах недавних взломов.
Для устранения угрозы необходимо использовать исправленные версии программного обеспечения, выпущенные еще в июле 2020 года. Патчи включены в FortiOS версий 6.0.10, 6.2.4 и 6.4.1. В документации по мерам защиты также упоминаются версии 6.0.13, 6.2.10, 6.4.7 и 7.0 как релевантные для обеспечения безопасности.
Помимо обновления ПО, существуют конфигурационные методы защиты. Рекомендуется удалить вторичную группу LDAP, если она не является необходимой. Это действие устраняет вектор атаки, так как пользователи не смогут пройти аутентификацию при несовпадении имени с локальной записью. Также возможно применение специальных команд CLI для настройки локальных аккаунтов.
В случае обнаружения доказательств того, что администраторы или VPN-пользователи входили в систему без второго фактора, следует немедленно сбросить все учетные данные. Организациям, столкнувшимся с подобной активностью, необходимо связаться со службой поддержки Fortinet для проведения расследования инцидента.
