Fortinet Warns of Active Exploitation of FortiOS SSL VPN 2FA Bypass Vulnerability

Contournement de l’authentification à deux facteurs sur FortiOS SSL VPN

Une vulnérabilité dans le FortiOS SSL VPN, identifiée sous le code CVE-2020-12812, est activement exploitée. Cette faille, avec un score CVSS de 5.2, permet à un attaquant de se connecter sans nécessiter le second facteur d’authentification (2FA) si la casse du nom d’utilisateur est modifiée.

Points Clés

• La vulnérabilité concerne les configurations où l’authentification 2FA est activée pour les utilisateurs locaux et où ces utilisateurs sont également associés à une méthode d’authentification distante, comme LDAP.
• Le problème découle d’une incohérence dans la sensibilité à la casse entre l’authentification locale de FortiOS et le serveur LDAP.
• Plusieurs acteurs malveillants exploitent cette faille, et le gouvernement américain l’a signalée comme une faiblesse utilisée dans des attaques contre des appareils périmétriques.

Vulnérabilités

• CVE-2020-12812 : Vulnérabilité d’authentification incorrecte dans le SSL VPN de FortiOS.

Conditions d’exploitation

Pour déclencher la vulnérabilité, plusieurs conditions doivent être remplies :

• Présence d’entrées d’utilisateurs locaux sur FortiGate avec 2FA activé, pointant vers LDAP.
• Ces mêmes utilisateurs doivent faire partie d’un groupe sur le serveur LDAP.
• Au moins un groupe LDAP auquel ces utilisateurs appartiennent doit être configuré sur FortiGate et utilisé dans une politique d’authentification (par exemple, pour les utilisateurs administratifs, le VPN SSL ou IPSEC).

Si ces conditions sont réunies, le système FortiGate traitera les noms d’utilisateur de manière sensible à la casse, alors que LDAP ne le fait pas. Un nom d’utilisateur saisi avec une casse différente de celle de l’entrée locale entraînera un échec de correspondance locale. FortiGate tentera alors d’autres options d’authentification, y compris le groupe LDAP configuré, permettant ainsi une authentification réussie via LDAP même sans 2FA.

Recommandations

Pour atténuer cette vulnérabilité :

• Mettre à jour FortiOS : Les versions corrigées incluent FortiOS 6.0.10, 6.2.4, 6.4.1 et ultérieures.
• Désactiver la sensibilité à la casse des noms d’utilisateur :
  • Pour les versions antérieures aux versions corrigées : exécutez set username-case-sensitivity disable.
  • Pour les versions FortiOS 6.0.13, 6.2.10, 6.4.7, 7.0.1 ou plus récentes : exécutez set username-sensitivity disable.
• Supprimer les groupes LDAP secondaires non requis : Si un groupe LDAP n’est pas strictement nécessaire pour l’authentification, sa suppression peut éliminer la voie d’attaque.
• Réinitialiser les identifiants : En cas de preuves d’authentification d’administrateurs ou d’utilisateurs VPN sans 2FA, il est conseillé de réinitialiser tous les identifiants concernés.

Source