FortiOS 洞 CVE-2020-12812 過雙因素驗證的新攻擊手法分析

近期，Fortinet 發布了一份安全警告，提醒用戶注意 CVE-2020-12812 個五年前的 FortiOS SSL VPN 洞正在被積極利用。這個漏洞允許攻擊者通過修改使用者名稱的大小寫來過雙因素驗證，進而登入系統。這個漏洞的 CVSS 評分為 5.2，屬於中度風險，但是美國國家漏洞資料庫（NVD）和網路安全基設施安全局（CISA）將其評為重大層級，CVSS 評分為 9.8。

漏洞分析

CVE-2020-12812 是一個不當驗證的漏洞，存在於 FortiOS 的 SSL VPN 中。當使用者用雙因素驗證，並將使用者驗證類型設定為遠端驗證方法（例如 LDAP）時，攻擊者可以通過修改使用者名稱的大小寫來過第二個驗證因素（FortiToken）。這個漏洞是由於本地和遠端驗證之間的不一致的大小寫匹配所致。

攻擊手法

攻擊者可以利用這個漏洞來過雙因素驗證，進而登入系統。這個攻擊手法需要攻擊者知道使用者的名稱和密碼，但是不需要知道第二個驗證因素。攻擊者可以通過修改使用者名稱的大小寫來過第二個驗證因素，進而登入系統。

影響範圍

這個漏洞影響 FortiOS 6.4.0、6.2.0 至 6.2.3、6.0.9 和以下版本的設備。Fortinet 已經發布了修補程式，建議用戶速更新。

建議

為了避免這個漏洞的攻擊，建議用戶：

* 速更新 FortiOS 到最新版本
* 用雙因素驗證，並設定使用者驗證類型為本地驗證
* 控系統日誌，檢測是否有可疑的登入活動

MITRE ATT&CK 應

* T1110 – Initial Access：攻擊者可以利用這個漏洞來獲得系統的始存取權

參考資料與原文來源

• 原文來源: Five-year-old Fortinet FortiOS SSL VPN vulnerability actively exploited
• 原文來源: Fortinet Warns of Active Exploitation of FortiOS SSL VPN 2FA
• 原文來源: Attackers Abuse Three-Year-Old FortiGate Flaw to Bypass Firewall 2FA
• 原文來源: CVE-2020-12812 Detail

漏洞的歷史背景

CVE-2020-12812 這個漏洞是在 2020 年被發現的，當時 Fortinet 已經發布了修補程式來修復這個問題。然而，最近的安全警告表明，這個漏洞仍然被積極利用，尤其是在那些尚未更新到最新版本的 FortiOS 系統上。

這個漏洞的歷史背景可以追溯到 2020 年 7 月，當時 Fortinet 發布了一份安全公告，提醒用戶注意這個漏洞的存在。然而，由於這個漏洞的 CVSS 評分為 5.2，屬於中度風險，許多用戶可能沒有認真對待這個問題，導致現在仍然有許多系統容易受到攻擊。

攻擊者如何利用這個漏洞

攻擊者可以利用這個漏洞來過雙因素驗證，進而登入系統。這個攻擊手法需要攻擊者知道使用者的名稱和密碼，但是不需要知道第二個驗證因素。攻擊者可以通過修改使用者名稱的大小寫來過第二個驗證因素，進而登入系統。

攻擊者可以使用以下步驟來利用這個漏洞：

1. 攻擊者需要知道使用者的名稱和密碼。
2. 攻擊者需要修改使用者名稱的大小寫，例如從 “username” 變為 “Username”。
3. 攻擊者需要使用修改後的使用者名稱和密碼來登入系統。
4. 如果系統尚未更新到最新版本的 FortiOS，攻擊者可以成功登入系統，而不需要知道第二個驗證因素。

為什麼這個漏洞如此危險

這個漏洞如此危險是因為它允許攻擊者過雙因素驗證，進而登入系統。雙因素驗證是一種強大的安全機制，需要使用者提供兩個不同的驗證因素，例如密碼和短信驗證碼，才能登入系統。然而，這個漏洞允許攻擊者只需要知道使用者的名稱和密碼，就可以登入系統，完全繞過了雙因素驗證的安全機制。

此外，這個漏洞也表明了 FortiOS 系統的安全性存在問題。雖然 Fortinet 已經發布了修補程式來修復這個問題，然而，許多用戶可能尚未更新到最新版本的 FortiOS，導致他們的系統仍然容易受到攻擊。

如何保護自己

為了保護自己免受這個漏洞的攻擊，建議用戶：

* 速更新 FortiOS 到最新版本
* 用雙因素驗證，並設定使用者驗證類型為本地驗證
* 控系統日誌，檢測是否有可疑的登入活動
* 使用強大的密碼和密碼管理工具
* 定期更新和維護系統，確保所有的安全補丁都已經安裝

此外，建議用戶也應該注意其他的安全問題，例如：

* 使用安全的網路連線，例如 VPN
* 避免使用公共的 Wi-Fi 連線
* 使用防毒軟件和防火牆
* 定期備份重要的資料

結論

CVE-2020-12812 這個漏洞是一個嚴重的安全問題，允許攻擊者過雙因素驗證，進而登入系統。雖然 Fortinet 已經發布了修補程式來修復這個問題，然而，許多用戶可能尚未更新到最新版本的 FortiOS，導致他們的系統仍然容易受到攻擊。

為了保護自己免受這個漏洞的攻擊，建議用戶速更新 FortiOS 到最新版本，用雙因素驗證，並設定使用者驗證類型為本地驗證，控系統日誌，檢測是否有可疑的登入活動。同時，也應該注意其他的安全問題，例如使用安全的網路連線，避免使用公共的 Wi-Fi 連線，使用防毒軟件和防火牆，定期備份重要的資料。

參考資料與原文來源

• 原文來源: Fortinet Releases Security Advisory for FortiOS SSL VPN
• 原文來源: CVE-2020-12812 Detail
• 原文來源: AA20-133A: Five-Year-Old Fortinet FortiOS SSL VPN Vulnerability Actively Exploited

🧠本文由 DreamJ AI 技術新聞生成系統 自動撰寫並進行語意優化，僅供技術研究與教學使用。
請以原廠公告、CVE 官方資料與安全建議為最終依據。