Obserwowane nadużycia FG-IR-19-283 (CVE-2020-12812): jak „zmiana wielkości liter” może ominąć 2FA w FortiOS SSL VPN - Security Bez Tabu

Obserwowane nadużycia FG-IR-19-283 (CVE-2020-12812): jak „zmiana wielkości liter” może ominąć 2FA w FortiOS SSL VPN

Wprowadzenie do problemu / definicja luki

Fortinet opublikował 24 grudnia 2025 analizę incydentową, w której potwierdza zaobserwowane nadużycia starszej podatności FG-IR-19-283 / CVE-2020-12812 w środowiskach produkcyjnych — ale tylko tam, gdzie występują określone konfiguracje uwierzytelniania (FortiGate + LDAP + 2FA).

Sedno problemu jest podstępnie proste: FortiGate domyślnie traktuje nazwę użytkownika jako case-sensitive, podczas gdy katalog LDAP/AD często nie. To otwiera drogę do obejścia wymuszenia 2FA przez użycie innej wielkości liter w loginie (np. jsmith vs JSmith).

W skrócie

  • Podatność: CVE-2020-12812 / FG-IR-19-283 (FortiOS SSL VPN; scenariusz obejścia 2FA).
  • Mechanizm nadużycia: zmiana wielkości liter w nazwie użytkownika powoduje, że FortiGate nie dopasowuje konta lokalnego (z 2FA), po czym może „spaść” na uwierzytelnienie LDAP (bez 2FA) przez polityki/grupy.
  • Status: Fortinet wskazuje na aktywnie obserwowane nadużycia w 2025 r. (w konkretnych konfiguracjach).
  • Priorytet działań: jeśli podejrzewasz wykorzystanie — traktuj konfigurację jako skompromitowaną i resetuj poświadczenia (w tym bind do LDAP/AD).

Kontekst / historia / powiązania

CVE-2020-12812 została ujawniona w 2020 r. i dotyczy nieprawidłowego uwierzytelniania w kontekście SSL VPN. Opis podatności i dotknięte wersje FortiOS są ujęte m.in. w NVD.

Co ważne, problem „perymetrowych” luk w FortiOS SSL VPN był już wcześniej elementem kampanii skanowania i eksploatacji: kanadyjskie Cyber Centre (w nawiązaniu do ostrzeżeń CISA/FBI) wskazywało, że aktorzy APT wykorzystywali podatności Fortinet (w tym CVE-2020-12812) do uzyskania dostępu i pozycjonowania się w sieciach wielu sektorów.

Dodatkowo NVD zaznacza, że CVE-2020-12812 znajduje się w katalogu CISA KEV (Known Exploited Vulnerabilities), co jest silnym sygnałem operacyjnym: luka ma historię realnego wykorzystania i powinna być traktowana priorytetowo.

Analiza techniczna / szczegóły luki

Warunki konieczne (najczęściej pomijane w ocenie ryzyka)

Fortinet bardzo wyraźnie zaznacza, że skuteczne nadużycie wymaga konkretnego układu konfiguracji:

  1. Lokalne konta użytkowników na FortiGate z włączonym 2FA, które jednocześnie „odsyłają” do LDAP.
  2. Ci sami użytkownicy są członkami grup na serwerze LDAP/AD.
  3. Co najmniej jedna z tych grup LDAP jest skonfigurowana na FortiGate i użyta w polityce uwierzytelniania (np. admin, SSL VPN lub IPsec VPN).

Jak wygląda obejście 2FA krok po kroku

W uproszczeniu:

  • Użytkownik loguje się jako jsmith → pasuje do lokalnego wpisu → FortiGate wymusza token/2FA.
  • Użytkownik loguje się jako JSmith / jSmith itd. → brak dopasowania do lokalnego wpisu (case-sensitive) → FortiGate sprawdza alternatywne ścieżki uwierzytelnienia (np. przez grupę LDAP używaną w polityce).
  • Jeśli polityka/grupa LDAP „złapie” użytkownika, a hasło jest poprawne, uwierzytelnienie kończy się sukcesem bez 2FA, nawet gdy lokalny profil miał 2FA lub konto było wyłączone (w zależności od scenariusza i polityk).

Wersje i „łatka konfiguracyjna”

Fortinet wskazuje, że mechanizmy ograniczające to zachowanie wprowadzono w ramach poprawek dla linii m.in. 6.0.10 / 6.2.4 / 6.4.1 (i nowszych), a jako kluczową konfigurację podaje wyłączenie wrażliwości na wielkość liter w nazwie użytkownika:

  • starsze: set username-case-sensitivity disable
  • nowsze: set username-sensitivity disable

Praktyczne konsekwencje / ryzyko

Najbardziej krytyczny efekt biznesowy to ominięcie wymuszenia 2FA dla dostępu zdalnego (SSL VPN) lub nawet dla dostępu administracyjnego — jeżeli taka ścieżka istnieje w politykach.

Fortinet ostrzega też wprost: jeśli doszło do takiego scenariusza uwierzytelnienia, należy założyć kompromitację i zresetować poświadczenia, włącznie z danymi używanymi do LDAP/AD binding.

Warto też pamiętać o sygnale z NVD: CVE-2020-12812 ma przypisany CVSS 3.1 9.8 (Critical) w NVD, a jednocześnie w praktyce jej „realna” wykonalność jest silnie zależna od konfiguracji — co często prowadzi do błędnego uspokajania ryzyka w organizacjach („u nas to nie działa”).

Rekomendacje operacyjne / co zrobić teraz

  1. Zweryfikuj warunki podatności w konfiguracji
    • Czy masz lokalne konta z 2FA powiązane z LDAP?
    • Czy masz skonfigurowane grupy LDAP używane w politykach SSL VPN / admin / IPsec?
    • Czy istnieje „secondary/fallback” scenariusz LDAP, który przejmuje autoryzację, gdy lokalny wpis nie pasuje?
  2. Wprowadź ustawienie unifikujące nazwy użytkowników
    • Zastosuj rekomendowane przez Fortinet ustawienie username-…-sensitivity disable adekwatne do wersji FortiOS.
  3. Usuń zbędne grupy LDAP / ścieżki awaryjne
    • Fortinet podkreśla, że istotnym czynnikiem jest „misconfiguration of a secondary LDAP Group” — jeżeli nie jest wymagana, usuń ją.
  4. Higiena po incydencie (jeśli podejrzewasz nadużycie)
    • Reset haseł i sekretów: konta VPN/admin, konta serwisowe, bind do LDAP/AD.
    • Przegląd logów VPN/admin pod kątem logowań z nietypową wielkością liter (np. JSmith zamiast jsmith), anomalii geolokalizacji, nowych sesji, nowych urządzeń, nietypowych godzin.
  5. Ustal priorytet patchowania
    • Traktuj to jako priorytet, bo CVE figuruje jako znana wykorzystywana (KEV wg NVD) oraz ma potwierdzone obserwacje nadużyć w 2025 r.

Różnice / porównania z innymi przypadkami (jeśli dotyczy)

W praktyce incydenty FortiOS SSL VPN rzadko występują „w próżni”. Ostrzeżenia rządowe i branżowe z 2021 r. łączyły CVE-2020-12812 z innymi podatnościami Fortinet wykorzystywanymi do uzyskiwania dostępu i przygotowania kolejnych etapów ataku (np. eksfiltracja lub szyfrowanie). Wymieniano m.in. CVE-2018-13379 oraz CVE-2019-5591 obok CVE-2020-12812.

Różnica jest taka, że:

  • CVE-2020-12812 jest „konfiguracyjno-logiczna” i silnie zależna od tego, jak zbudowano łańcuch uwierzytelniania (lokalne konta + grupy LDAP + polityki).
  • Wiele innych luk SSL VPN historycznie bywało bardziej „bezpośrednich” (np. odczyt plików / traversal), a więc łatwiejszych do masowego skanowania.

Podsumowanie / kluczowe wnioski

  • Nie lekceważ wieku podatności: Fortinet potwierdza obserwowane nadużycia CVE-2020-12812 w 2025 r.
  • To nie jest „magiczny bypass 2FA wszędzie” — ale w określonych konfiguracjach zmiana wielkości liter w loginie może przełączyć ścieżkę uwierzytelnienia z lokalnego 2FA na LDAP bez 2FA.
  • Minimalny hardening: wyłącz wrażliwość na wielkość liter w nazwie użytkownika oraz usuń zbędne „fallback” grupy LDAP.
  • Jeżeli widzisz symptomy nadużycia: traktuj to jak kompromitację i resetuj poświadczenia, włącznie z bindami do LDAP/AD.

Źródła / bibliografia

  1. Fortinet PSIRT Blog: Product Security Advisory and Analysis: Observed Abuse of FG-IR-19-283 (24.12.2025) (Fortinet)
  2. NIST NVD: CVE-2020-12812 Detail (opis, wersje, metryki, informacja o KEV) (NVD)
  3. CVE.org: CVE-2020-12812 (rekord CVE) (cve.org)
  4. Canadian Centre for Cyber Security: Exploitation of Fortinet FortiOS vulnerabilities (CISA, FBI) – update 1 (06.04.2021 / 28.05.2021) (Canadian Centre for Cyber Security)
  5. The Hacker News: relacja o ostrzeżeniu Fortinet i aktywnych atakach (24.12.2025) (The Hacker News)