根据 Shadowserver 基金会 2026 年 1 月的最新监测数据,全球仍有超过 10,000 台 Fortinet 防火墙设备暴露在 CVE-2020-12812 的风险之下。
虽然该漏洞的补丁已发布五年之久,但 Fortinet 在 2025 年底确认,威胁狩猎活动监测到该漏洞正处于活跃利用期。这表明攻击者正利用企业运维的“长尾效应”,针对疏于更新的遗留系统进行定向爆破。
该漏洞的核心在于 FortiOS SSL VPN 门户 在处理多因素认证(MFA)时的逻辑缺陷。
漏洞触发的前提是:企业采用了 “本地用户 + LDAP(如 Active Directory)” 的混合认证模式。
本地数据库(Case-Sensitive):FortiGate 本地系统严格区分用户名大小写(如 admin 与 Admin 是两个不同账户)。
LDAP/AD 协议(Case-Insensitive):大多数 LDAP 目录服务在验证时会忽略大小写。
当攻击者将合法用户名 user 修改为 User 进行登录时:
第一阶段:FortiGate 将请求转发给 LDAP 服务器。由于 LDAP 不区分大小写,认证通过。
第二阶段:系统返回本地检查。由于 User(输入)与 user(本地存储)不匹配,系统逻辑出现异常,跳过了关联在 user 账户上的 MFA(如 FortiToken)强制验证步骤。
结果:攻击者仅凭账户密码即可绕过二道防线,获取 VPN 访问权限。
该漏洞的 CVSS v3.1 基础评分为 7.5(高危)。其威胁向量表现如下:
攻击向量 (AV):网络(远程利用)。
攻击复杂度 (AC):低。无需复杂的交互,仅需简单的字符串变换。
影响范围:由于 VPN 权限通常关联内网访问,一旦被突破,攻击者将实现从“外部边界”向“内网横移”的质变。
历史关联:早在 2021 年,多个勒索软件组织(如 Conti)便将其作为初始进入矢量(Initial Access),促使 CISA 将其列入“必修”漏洞清单。
截至 2026 年初,受影响设备的地理分布极度不均,北美与东亚成为重灾区。
| 国家/地区 | 暴露设备数量 | 风险等级 |
| 🇺🇸 美国 | 1,300+ | 极高 |
| 🇹🇭 泰国 | 909 | 高 |
| 🇹🇼 中国台湾 | 728 | 高 |
| 🇯🇵 日本 | 462 | 中 |
| 🇨🇳 中国大陆 | 462 | 中 |
企业必须立刻将 FortiOS 升级至以下安全版本或更高:
6.0 系列:升级至 6.0.10+
6.2 系列:升级至 6.2.4+
6.4 系列:升级至 6.4.1+
若无法立即重启设备,应采取以下临时措施:
清理混合认证:检查并避免在同一认证策略中混合使用本地 MFA 逻辑与 LDAP 组映射。
关闭非必要服务:通过防火墙策略限制可访问 SSL VPN 门户的源 IP 地址(白名单化)。
日志指纹监控:重点审计登录日志,寻找同一账户频繁变换大小写(如 john_doe -> John_Doe)的异常登录记录。
实施零信任架构 (ZTA):不再默认信任来自 VPN 的流量,对内网资源实施二次身份核验。
订阅威胁情报:通过 Shadowserver 等机构的定制化报告,实时感知企业资产的外部脆弱性。
这道“陈年旧案”的翻红再次提醒我们:在网络攻防中,最致命的武器往往不是 0-day 漏洞,而是那些被管理员遗忘在角落、且只需“改一个字母”就能开启的大门。
网站资讯
渠道合作
解决方案
更多服务
