漏洞概况
全球仍有超过1万台Fortinet防火墙设备存在CVE-2020-12812漏洞风险,这个多因素认证(MFA)绕过漏洞早在五年前就已披露。Shadowserver基金会近期将该漏洞纳入其每日脆弱HTTP服务报告,Fortinet在2025年底确认该漏洞正被活跃利用。
技术细节
该漏洞源于FortiOS SSL VPN门户的身份验证缺陷,影响6.4.0、6.2.0至6.2.3以及6.0.9及更早版本。攻击者仅需修改合法用户名的字母大小写(如将"user"改为"User")即可绕过第二认证因素(通常是FortiToken)。这是由于FortiGate本地用户名区分大小写,而LDAP服务器(如Active Directory)通常忽略大小写,导致攻击者可通过LDAP组成员身份完成认证而无需MFA验证。
该漏洞CVSS v3.1基础评分为7.5(高危),具有网络可访问性、低复杂度攻击条件,可能影响数据机密性、完整性和可用性。2021年勒索软件组织利用该漏洞后,它被列入CISA已知被利用漏洞目录。
利用情况
2025年12月,Fortinet发布PSIRT公告(FG-IR-19-283更新),详细说明该漏洞在野利用情况:当本地FortiGate用户启用MFA并关联LDAP,且属于映射到SSL VPN、IPsec或管理员访问认证策略的LDAP组时,威胁分子可利用该漏洞获取未授权内网访问权限。
全球影响
Shadowserver扫描数据显示,截至2026年1月初仍有超1万台设备存在风险。受影响最严重的国家包括:
- 美国:1300台
- 泰国:909台
- 中国台湾地区:728台
- 日本:462台
- 中国大陆:462台
地理分布图显示北美、东亚和欧洲为密集暴露区域,非洲和南美部分地区受影响较轻。
缓解措施
Fortinet建议升级至已修复版本(6.0.10+、6.2.4+、6.4.1+),检查配置避免混合本地-LDAP MFA设置。应关闭非必要SSL VPN暴露面,实施最小权限原则,监控日志中的大小写变体登录尝试。企业应订阅Shadowserver报告获取定制化警报,并及时运行脆弱HTTP扫描。
该持续威胁凸显了企业防火墙中遗留漏洞的风险,可能为勒索软件攻击或横向移动提供便利。
