Fortinet 近期发布安全通告指出,有攻击者重新利用一个已公开多年的漏洞,通过修改用户名的大小写形式即可规避 FortiGate 防火墙上的双因素认证机制。
该问题对应漏洞编号 FG-IR-19-283(CVE-2020-12812),最早在 2020 年 7 月 被披露并修补。不过,最新威胁情报显示,在部分仍采用不安全认证配置的环境中,该漏洞依然可被成功利用。
漏洞根本原因:用户名校验规则不一致
根据 Fortinet 的分析,当前在野外被滥用的正是这一历史漏洞,攻击对象主要集中在使用特定认证组合的系统。
问题的核心在于不同组件对用户名大小写的处理方式存在分歧。FortiGate 默认将用户名视为区分大小写的字符串,而大多数 LDAP 服务(例如 Microsoft Active Directory)在身份校验时并不区分大小写,这种设计差异直接导致了认证逻辑异常。
报告指出,当后端目录服务忽略大小写,而防火墙仍执行严格的大小写匹配时,就可能触发非预期的认证路径。
利用方式:认证逻辑被错误触发
当企业环境中同时存在以下配置时,漏洞便可被触发:
本地用户账户启用了双因素认证
同时配置了 LDAP 用户组作为备用认证方式
在这种情况下,攻击者能够绕过安全令牌的校验流程。
例如,假设本地存在一个启用 2FA 的账户 “jsmith”。攻击者在尝试通过 VPN 或管理界面登录时,刻意将用户名改为 “JSmith”、“JSMITH” 等不同大小写组合。由于 FortiGate 的本地账户匹配逻辑区分大小写,这些输入不会命中原本的本地用户记录,因此系统不会触发 2FA 验证。
随后,防火墙会自动转向备用的 LDAP 认证机制。由于 LDAP 服务并不区分用户名大小写,后端会将这些变体识别为合法账户,只需验证密码即可完成认证并授予访问权限。
正如报告所描述的,只要用户名大小写与本地账户记录不完全一致,即使账户策略中启用了 2FA,认证流程仍可能在未进行二次验证的情况下成功完成。
风险影响与缓解建议
该漏洞带来的风险不容忽视,可能导致 管理员或远程接入用户在未通过双因素认证的情况下获得系统访问权限。Fortinet 强烈建议用户尽快将设备升级至已修复的版本,包括:
FortiOS 6.0.10FortiOS 6.2.4FortiOS 6.4.1
或更高版本
对于暂时无法完成升级的环境,官方也提供了配置层面的缓解方案。通过关闭用户名大小写敏感选项,使防火墙在认证过程中忽略大小写差异,可以避免因匹配失败而错误切换到 LDAP 备用认证。
相关配置命令如下:
新版本系统:
网站资讯
渠道合作
解决方案
更多服务set username-sensitivity disable
旧版本系统:
set username-case-sensitivity disable
此外,报告还建议管理员重新审视现有的身份认证策略,如无必要,应取消备用 LDAP 组认证配置,以进一步减少潜在攻击面。
参考来源:
