10,000+ Fortinet Firewalls Still Exposed to 5-year Old MFA Bypass Vulnerability
2026/01/02 CyberSecurityNews — 世界中の 10,000 台を超える Fortinet 製ファイアウォールが、5 年半以上前に公開された多要素認証 (MFA) バイパスの脆弱性 CVE-2020-12812 の影響を受けている。Shadowserver は、このインシデントを Daily Vulnerable HTTP Report (脆弱なHTTPに関する日次レポート) に追加しており、2025年後半に Fortinet が活発な攻撃を確認した後も、この脆弱性が依然として深刻なリスクとして残存している現状を示している。
脆弱性 CVE-2020-12812 は、FortiOS SSL VPN ポータルにおける認証処理の不備に起因し、バージョン 6.4.0/6.2.0~6.2.3/6.0.9 以前に影響を及ぼす。この脆弱性が悪用されている攻撃者は、ログイン時に正規ユーザー名の大文字と小文字を変更するだけで、通常では FortiToken が使用される多要素認証をバイパスできる。
この問題は、大文字と小文字の扱いにおける不整合により発生する。FortiGate はローカルユーザー名の大文字と小文字を区別する一方で、多くの LDAP サーバ (Active Directory など) はこれを区別しない。その結果、MFA が要求されずに、グループ・メンバーシップに基づく認証が許可される状態となる。
この脆弱性は、CVSS v3.1 の基本スコアが 7.5 (High) と評価されている。ネットワーク経由での悪用が可能であり、攻撃難易度が低く、機密性/整合性/可用性に影響を与える可能性がある。2021年の時点で、ランサムウェア・グループによる悪用が確認されたことを受け、CISA の Known Exploited Vulnerabilities (KEV) カタログに追加された。
2025年12月に Fortinet は、PSIRT アドバイザリ (FG-IR-19-283 更新) を公開した。このアドバイザリでは、この脆弱性が再び悪用されている状況が説明され、注意が促されている。具体的には、MFA が有効化され、LDAP にリンクされ、SSL VPN/IPsec/管理者アクセスの認証ポリシーにマッピングされた LDAP グループに属する、ローカル FortiGate ユーザーが危険にさらされる。
脅威アクターは、この脆弱性により不正な内部ネットワーク・アクセスを取得しているため、早急な調査とパッチ適用を、Fortinet はユーザーに対して強く推奨している。
Shadowserver によるスキャンでは、公開ポート上の脆弱な HTTP サービスが調査され、この脆弱性が依然として残存していることが確認された。
Shadowserver のダッシュボードによると、2026年1月初旬の時点で 10,000 件を超える脆弱なインスタンスが確認されている。国別では、米国が 1,300 件で最多となっており、それに続くのが、タイ 909 件/台湾 728 件/日本 462 件/中国 462 件となる。世界地図による可視化では、北米/東アジア/ヨーロッパに高密度のクラスターが確認されている。その一方で、アフリカおよび南米の一部では、相対的にリスクが低い状況が示されている。
| Top Countries | Vulnerable Count |
|---|---|
| United States | 1.3K |
| Thailand | 909 |
| Taiwan | 728 |
| Japan | 462 |
| China | 462 |
Fortinet が推奨するのは、修正済みの FortiOS バージョン 6.0.10 以降/6.2.4 以降/6.4.1 以降へのアップグレードである。また、ハイブリッドなローカル LDAP MFA 構成を回避するため、コンフィグ内容の検証を実施する必要がある。
不要な SSL VPN の公開を無効化し、最小権限を適用することが重要である。さらに、大文字と小文字が異なるログイン試行をログで監視すべきである。ユーザー組織にとって必要なことは、Shadowserver のレポートを購読して、カスタマイズされたアラートを受信し、自組織の資産に対するスキャン結果を迅速に確認することだ。
このように、企業のファイアウォールに残存するレガシーな脆弱性が、深刻なリスクをもたらし続けている。これらの脆弱性が悪用されると、ネットワーク内におけるランサムウェア展開やラテラル・ムーブメントが引き起こされる可能性がある。
Fortinet 製ファイアウォールに残存し、長期間にわたり未修正となっている脆弱性が注目されています。この脆弱性の原因は、ログイン時に入力されたユーザー名の大文字と小文字を、システムが判別する際の “不整合” にあります。ファイアウォール自体は文字の違いを厳密に区別しますが、連携先の外部サーバー (LDAPなど) では区別されずに認証を通過するため、本来は必要な多要素認証 (MFA) がスキップされるという隙が生まれています。5年以上も前に修正パッチが提供されていますが、世界中の多くのデバイスが未対策のまま放置され、攻撃の対象となっています。ご利用のチームは、ご注意ください。よろしければ、CVE-2020-12812 での検索結果も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.