FortiGate の古い脆弱性 CVE-2020-12812 を悪用する攻撃者:パッチ未適用の環境で 2FA バイパス

Hackers Exploiting Three-Year-Old FortiGate Vulnerability to Bypass 2FA on Firewalls

2025/12/24 CyberSecurityNews — Fortinet FortiGate の脆弱性 CVE-2020-12812 を悪用する攻撃者たちが、ファイアウォールの二要素認証 (2FA) をすり抜け、VPN や管理コンソールへの不正アクセスを可能にしている。最近のブログ投稿で Fortinet の PSIRT チームは、2020年7月からパッチが公開されている脆弱性が、実際の攻撃で悪用されている状況を説明し、侵害を回避するためのコンフィグレーションを監査するよう管理者に促している。

この脆弱性 CVE-2020-12812 (FG-IR-19-283) は、FortiGate デバイスと LDAP ディレクトリにおけるユーザー名処理の不一致に起因する。FortiGate はデフォルトでユーザー名の大文字と小文字を区別するが、Active Directory などの多くの LDAP サーバは大文字と小文字を無視する。

この脆弱性を悪用する攻撃者は、設定の不備による欠陥を突ける。それが生じるのは、ローカルの FortiGate ユーザーが 2FA を有効化し、認証ポリシーにマッピングされた LDAP グループにも所属している場合である。

この攻撃の手法は単純である。たとえば、ローカル・ユーザー “jsmith” が 2FA を有効にし、「Domain Users」などの LDAP グループにリンクされているとする。この状況で、”jsmith” と正確に入力するとトークン・プロンプトが表示される。

しかし攻撃者は、”Jsmith” や “jSmith” などのように、大文字と小文字を変えて入力することで、この欠陥を悪用できる。この種の入力に対して、FortiGate はローカル・ユーザーとの照合に失敗し、”Helpdesk”/”Auth-Group” などの LDAP グループに紐付く二次認証ポリシーにフォールバックする。したがって攻撃者は、有効な LDAP 認証情報のみを用いて、2FA を完全に回避できる。

Fortinet が確認したのは、この脆弱性の悪用により、以下のユーザーが標的にされることだ。

  • 2FA が設定され、LDAP を参照するローカル FortiGate ユーザー。
  • FortiGate 上でコンフィグされた LDAP グループに所属し、SSL/IPsec VPN/Admin Access などのファイアウォール・ポリシーが適用されるユーザー。

攻撃者はトークンを使用せずに、VPN アクセスを可能にして、権限昇格を引き起こせる。Fortinet は、このバイパス成功は、セキュリティ侵害につながると警告している。したがって、ユーザーにとって必要なことは、ローカル認証失敗後の LDAP 認証の成功などの、異常を示すログの精査である。異常が発見された場合には、LDAP/AD バインディング・アカウントを含む、すべての認証情報をリセットする必要がある。

この脆弱性は 2020年に発生し、すでに FortiOS 6.0.10/6.2.4/6.4.1 で修正されている。しかし、パッチ未適用またはミスコンフィグされたデバイスが現在も存在し、攻撃者たちを引き寄せている。Fortinet の分析では、攻撃者が特定のコンフィグを精査し、古いファームウェアをスキャンしている可能性が高いと示されている。

緩和策

管理者は以下の手順を優先すべきである。

  1. ファームウェアのパッチ適用:フェイルオーバー動作をブロックするために、FortiOS 6.0.10 以降/6.2.4 以降/6.4.1 以降にアップグレードする。
  2. 大文字と小文字の区別を無効化:パッチ未適用システムでは、set username-case-sensitivity disable (FortiOS 6.0.10〜6.0.12 など) または、set username-sensitivity disable (v6.0.13 以降/v6.2.10 以降/v6.4.7 以降/v7.0.1 以降) を実行し、”jsmith” や “JSMITH” といったユーザー名を正規化する。
  3. LDAP グループの削除:ポリシーから不要なセカンダリ・グループを削除する。それにより、大文字/小文字が不一致ログインは確実に失敗する。
  4. 監査ログの精査:認証イベントにおける大文字と小文字の異なる試行を検出する。

Fortinet は、LDAP グループを使用しないことで、ローカル・ユーザーによるバイパス・リスクを排除できると強調している。このインシデントは、ミスコンフィグにより古い脆弱性が増殖するという現実を示している。

FortiGate ファイアウォールで重要ネットワークを保護する企業は、最小権限ポリシーと定期的な監査を実施すべきである。この脆弱性への対処の遅延は、ランサムウェアやラテラル・ムーブメントなどを招く可能性があるため、防御が突破される前に行動を起こす必要がある。

Fortinet FortiGateにおいて、二要素認証 (2FA) が回避されてしまうという深刻な状況が生じています。この問題の原因は、FortiGate 本体と LDAP サーバ (Active Directory など) の間で、ユーザー名の大文字/小文字の扱いが異なっている点にあります。FortiGate 側は “jsmith” と “Jsmith” を別人とみなすのに対し、連携先のサーバは同一人物として認証を許可してしまいます。この不一致を突く攻撃者は、意図的に大文字を混ぜて入力することで、2FAのチェックをすり抜け、本来のユーザーを装いながら VPN などに不正アクセスできてしまいます。すでに 2020年の時点で修正パッチが公開されていますが、設定において不備が残っている環境が狙われています。まずはファームウェアが最新であるかを確認し、設定の見直しを進めてみてください。よろしければ、Fortinet での検索結果も、ご参照ください。