Yoan AGOSTINI

Yoan AGOSTINI

1337 G33k

Fortinet warns of 5-year-old FortiOS 2FA bypass still exploited in attacks

1 minute de lecture

Mis à jour :

Contournement de l’authentification à deux facteurs sur FortiOS toujours actif

Une faille critique datant de 2020, CVE-2020-12812, continue d’être exploitée par des acteurs malveillants pour contourner l’authentification à deux facteurs (2FA) sur les pare-feux FortiGate. Cette vulnérabilité d’authentification incorrecte affecte le VPN SSL de FortiOS et permet à des attaquants de se connecter à des pare-feux non corrigés sans être invités à fournir le second facteur d’authentification, en exploitant la sensibilité à la casse des noms d’utilisateur.

Ce problème survient lorsque la 2FA est activée pour les utilisateurs locaux liés à une méthode d’authentification distante, telle que LDAP. La cause sous-jacente est une incohérence dans la comparaison sensible à la casse entre les authentifications locales et distantes.

Points Clés :

  • Une vulnérabilité de 2020 (CVE-2020-12812) permet le contournement de la 2FA sur FortiOS.
  • Des attaquants exploitent activement cette faille sur des configurations spécifiques.
  • La vulnérabilité a été ajoutée au catalogue des vulnérabilités connues et exploitées par la CISA.

Vulnérabilités :

  • CVE-2020-12812 : Défaut d’authentification affectant le VPN SSL FortiGate, permettant un contournement de la 2FA.

Conditions pour être vulnérable :

  • Des entrées d’utilisateurs locaux sur le FortiGate nécessitant une 2FA.
  • Ces utilisateurs sont liés à un annuaire LDAP.
  • Ces utilisateurs appartiennent à un groupe LDAP configuré sur le FortiGate.
  • Une mauvaise configuration d’un groupe LDAP secondaire utilisé en cas d’échec de l’authentification LDAP principale.

Recommandations :

  • Appliquer les mises à jour de sécurité FortiOS : versions 6.4.1, 6.2.4, et 6.0.10 ou ultérieures.
  • Pour les organisations ne pouvant pas appliquer immédiatement les mises à jour, désactiver la sensibilité à la casse des noms d’utilisateur dans la configuration.
  • Vérifier et corriger la configuration des groupes LDAP, en particulier les groupes LDAP secondaires. Si un groupe LDAP secondaire n’est pas requis, il devrait être supprimé.

Source

Vous pourriez aimer