Fortinet сообщает о новой волне эксплуатации пятилетней уязвим | SecAtor

Fortinet сообщает о новой волне эксплуатации пятилетней уязвимости SSL VPN в FortiOS, которая реализуется при определенных конфигурациях.

Речь идёт о CVE-2020-12812 (CVSS: 5.2), представляющей собой уязвимость некорректной аутентификации в SSL VPN на FortiOS, которая позволяет успешно войти в систему без запроса второго фактора аутентификации, если регистр имени пользователя был изменён.

Как упоминалось в 2020 году, это возможно, если в настройках «локальная аутентификация пользователя» включена 2Fa, а тип аутентификации пользователя установлен на удаленный метод аутентификации (например, LDAP).

Проблема возникает из-за непоследовательного сопоставления данных с учетом регистра между локальной и удаленной аутентификацией.

С тех пор на этой уязвимости различные злоумышленники неплохо набили руку, а в 2021 году она вошла в перечень наиболее эксплуатируемых в атаках на устройства периметра.

В новом вчерашнем уведомлении Fortinet отметила, что для успешного срабатывания CVE-2020-12812 необходима следующая конфигурация:

- Локальные записи пользователей на FortiGate с 2Fa, ссылающиеся на LDAP.

- Эти же пользователи должны состоять в группе на LDAP-сервере.

- На устройстве FortiGate необходимо настроить как минимум одну группу LDAP, в которую входят пользователи 2Fa, и она должна использоваться в политике аутентификации, которая может включать, например, административных пользователей, SSL или IPSEC VPN.

Если условия выполнены, уязвимость приводит к тому, что пользователи LDAP с настроенной 2Fa проходят аутентификацию непосредственно в LDAP, поскольку FortiGate обрабатывает имена пользователей с учетом регистра, в то время как каталог LDAP этого не делает.

В частности, если пользователь входит в систему с именем Jsmith, jSmith, JSmith, jsmiTh или любым другим именем, которое не является точным совпадением с jsmith, FortiGate не будет сопоставлять данные входа с локальным пользователем.

Такая конфигурация заставляет FortiGate рассматривать другие варианты аутентификации. FortiGate будет проверять другие настроенные политики аутентификации брандмауэра.

После неудачной попытки сопоставления с jsmith, FortiGate обнаруживает дополнительную настроенную группу Auth-Group, а оттуда - LDAP-сервер, и при условии корректности учетных данных аутентификация будет успешной независимо от настроек локальной политики пользователя (2Fa и отключенные учетные записи).

В результате уязвимость позволяет авторизовать администраторов или пользователей VPN без 2Fa.

Fortinet выпустила FortiOS 6.0.10, 6.2.4 и 6.4.1 в июле 2020 года для устранения этой проблемы.

Кроме того, для предотвращения проблемы с обходом аутентификации следует отключить чувствительность к регистру имени пользователя (а для FortiOS версий 6.0.13, 6.2.10, 6.4.7, 7.0.1 и более поздних - чувствительность к имени пользователя).

В качестве дополнительной меры защиты стоит рассмотреть возможность удаления вторичной группы LDAP, если она не требуется, поскольку это полностью исключает линию атаки.

При этом в недавно опубликованных рекомендациях не содержится никакой конкретной информации о характере атак, нацеленных эту уязвимость, а также о том, были ли какие-либо из этих инцидентов успешными.

Fortinet также посоветовала пострадавшим клиентам связаться со службой поддержки и сбросить все учетные данные в случае обнаружения признаков аутентификации администраторов или пользователей VPN без 2Fa.