Een oude FortiOS-kwetsbaarheid die authenticatie op FortiGate-firewalls omzeilt, wordt volgens Fortinet nog steeds actief uitgebuit.
Fortinet waarschuwt dat aanvallers nog altijd actief misbruik maken van een kritieke kwetsbaarheid in FortiOS. Aanvallers omzeilen tweeledige authenticatie op FortiGate-firewalls. Het gaat om CVE-2020-12812, een fout die al in 2020 werd gepatcht, maar die door specifieke configuraties opnieuw wordt uitgebuit in echte aanvallen.
Fortigate SSL
De kwetsbaarheid zit in FortiGate SSL VPN. Het stelt aanvallers in staat om in te loggen zonder tweede authenticatiefactor. Dat gebeurt door de hoofdletters en kleine letters van een gebruikersnaam aanpassen. Dat gebeurt als 2FA is ingeschakeld voor een lokale gebruiker, maar de authenticatie eigenlijk via een externe bron gaat.
Volgens Fortinet gebeuren de recente aanvallen vooral in omgevingen waar lokale gebruikers met verplichte 2FA zijn gekoppeld aan LDAP (Lightweight Directory Access Protocol)-groepen. Het risico neemt verder toe wanneer een tweede LDAP-groep is ingesteld als terugvalmechanisme bij mislukte authenticatie. In dat geval kan een aanvaller toch nog toegang krijgen. Fortinet zegt dat deze configuraties vaak onnodig zijn en dat het verwijderen ervan het risico verkleint.
Al jaren gekend
Dat de kwetsbaarheid opnieuw opduikt is geen verrassing. In 2021 waarschuwden de FBI en CISA al dat actoren FortiGate-systemen aanvielen door CVE-2020-12812 te misbruiken. Later werd de fout door CISA toegevoegd aan de lijst van actief uitgebuite kwetsbaarheden en gelinkt aan ransomwarecampagnes. Het feit dat aanvallen in 2025 nog steeds succesvol zijn, wijst volgens Fortinet vooral op slecht onderhouden of verkeerd geconfigureerde omgevingen.
Fortinet benadrukt dat organisaties hun FortiGate-configuraties dringend moeten herzien en controleren of alle systemen up-to-date zijn. Wie geen recente FortiOS-versie kan inzetten, kan eerdere oplossingen gebruiken, zoals het uitschakelen van hoofdlettergevoeligheid bij gebruikersnamen en het beperken van LDAP-afhankelijkheden.