Fortinet vừa phát đi thông báo khẩn về việc tin tặc đang tích cực lạm dụng một lỗ hổng bảo mật cũ trong FortiOS (CVE-2020-12812) để xâm nhập trái phép vào hạ tầng doanh nghiệp. Đáng chú ý, lỗi này cho phép kẻ tấn công vượt qua lớp bảo mật hai yếu tố (2FA) chỉ bằng một thủ thuật thay đổi kiểu chữ viết hoa đơn giản trong tên người dùng.
Chi tiết lỗ hổng và cơ chế tấn công
Theo thông tin mới nhất từ Fortinet, lỗ hổng được xác định mã hiệu CVE-2020-12812 với điểm CVSS là 5.2. Mặc dù đã được phát hiện và có bản vá từ năm 2020, lỗ hổng này vẫn đang bị các nhóm tin tặc khai thác trên các thiết bị chưa được cập nhật hoặc cấu hình sai. Vấn đề cốt lõi nằm ở sự thiếu nhất quán trong việc xử lý tên người dùng giữa thiết bị FortiGate và máy chủ LDAP từ xa. Trong khi FortiGate mặc định phân biệt chữ hoa và chữ thường, thì các hệ thống thư mục như LDAP lại coi chúng là như nhau.
Kẻ tấn công có thể lợi dụng sơ hở này bằng cách nhập tên người dùng khác đi một chút so với bản ghi gốc, ví dụ như sử dụng Jsmith thay vì jsmith. Khi đó, hệ thống FortiGate sẽ không tìm thấy sự trùng khớp hoàn toàn với hồ sơ người dùng cục bộ có yêu cầu 2FA. Thay vì từ chối truy cập, thiết bị sẽ tự động chuyển sang kiểm tra các chính sách xác thực dự phòng khác. Nếu người dùng đó thuộc một nhóm được cấu hình trên LDAP, hệ thống sẽ xác thực trực tiếp qua LDAP và cho phép đăng nhập thành công mà không bao giờ yêu cầu mã xác thực. Điều này tạo ra một lỗ hổng cho phép truy cập vào VPN SSL hoặc quyền quản trị hệ thống chỉ với mật khẩu thông thường.
Giải pháp khắc phục và phòng ngừa
Để ngăn chặn nguy cơ bị xâm nhập, các chuyên gia an ninh mạng khuyến cáo tổ chức cần nhanh chóng cập nhật lên các phiên bản FortiOS mới nhất như 6.0.13, 6.2.10, 7.0.1 hoặc các bản vá cao hơn. Trong trường hợp chưa thể nâng cấp ngay lập tức, quản trị viên cần can thiệp thông qua giao diện dòng lệnh bằng cách sử dụng lệnh:
set username-sensitivity disableThao tác này sẽ buộc thiết bị xử lý mọi tổ hợp chữ hoa chữ thường là như nhau, từ đó ngăn chặn việc hệ thống tự ý chuyển sang các chính sách xác thực thiếu an toàn. Ngoài ra, việc loại bỏ các nhóm LDAP dự phòng không cần thiết cũng là một biện pháp hữu hiệu để triệt tiêu hoàn toàn con đường tấn công này.
Sự trở lại của một lỗ hổng cũ như CVE-2020-12812 là lời nhắc nhở quan trọng về việc bảo trì định kỳ và giám sát cấu hình thiết bị đầu cuối. Các tổ chức nên thực hiện rà soát nhật ký đăng nhập để tìm kiếm các dấu hiệu bất thường liên quan đến việc đăng nhập thành công mà không có bản ghi 2FA đi kèm.
