سوءاستفاده فعال از یک آسیبپذیری ۵ ساله فورتینت
شرکت فورتینت (Fortinet)، در تازهترین هشدار امنیتی خود اعلام کرد که مهاجمان سایبری همچنان در حال سوءاستفاده فعال از یک آسیبپذیری قدیمی اما خطرناک در سیستمعامل FortiOS هستند؛ نقصی که امکان دور زدن احراز هویت دومرحلهای (2FA) را در فایروالهای FortiGate فراهم میکند.
این آسیبپذیری با شناسه CVE-2020-12812 شناخته میشود و نخستینبار در سال ۲۰۲۰ شناسایی و وصله شد. مشکل مربوط به سازوکار احراز هویت در SSL VPN فایروالهای FortiGate است؛ بهطوریکه مهاجم میتواند تنها با تغییر حروف بزرگ و کوچک نام کاربری، مرحله دوم احراز هویت (FortiToken) را دور بزند.
به گفته فورتینت، این نقص زمانی فعال میشود که:
- احراز هویت دومرحلهای برای کاربران محلی فعال باشد؛
- روش احراز هویت به LDAP یا سایر سرویسهای احراز هویت راهدور متصل شده باشد؛
- تطبیق نام کاربری بین احراز هویت محلی و راهدور بهصورت ناسازگار نسبت به حروف بزرگ و کوچک انجام شود.
با وجود انتشار وصله امنیتی در سال ۲۰۲۰، فورتینت تأیید کرده است که این آسیبپذیری هنوز در حملات واقعی (In the Wild) مورد استفاده قرار میگیرد. بررسیها نشان میدهد هدف اصلی مهاجمان، فایروالهایی هستند که:
- LDAP روی آنها فعال است؛
- کاربران محلی متصل به LDAP و عضو گروههای LDAP هستند؛
- گروه LDAP ثانویه بهدرستی پیکربندی نشده است.
فورتینت تأکید کرده است که وجود یک LDAP Group ثانویه غیرضروری میتواند مسیر حمله را برای مهاجمان باز بگذارد و در صورت عدم نیاز، باید فوراً حذف شود.
جزییات تکمیلی در توصیهنامه امنیتی فورتینت از طریق لینک زیر در دسترس است: