イントロダクション
Fortinet製ファイアウォールに存在する、2020年に開示された古い脆弱性(CVE-2020-12812)が、最近の攻撃で再び悪用されていることが判明し、数千台のデバイスが新たな脅威に直面しています。同社は昨年12月にこの脆弱性を標的とした攻撃が確認されたと警告を発しており、セキュリティ研究者らは未だに多くのシステムが未パッチである現状に警鐘を鳴らしています。
脆弱性の詳細
この脆弱性「CVE-2020-12812」は、FortiOSのSSL VPNにおける不適切な認証不備に起因します。特定の構成下で稼働している場合、攻撃者は第二要素認証(2FA)のプロンプトなしにログインできる可能性があります。Fortinetによると、この問題はFortiGateが軽量ディレクトリアクセスプロトコル(LDAP)ユーザーに対して、二段階認証をバイパスし、LDAPに対して直接認証することを許可する可能性があるために発生します。これは、LDAPディレクトリの動作における差異、特にユーザー名のケースセンシティブ性(FortiGateがデフォルトで大文字・小文字を区別するのに対し、LDAPディレクトリがその逆の動作をする場合がある)に起因するとされています。
現在の脅威と未パッチの状況
Fortinetはクリスマスイブに公開したブログで、この脆弱性が特定の構成で稼働している際に、最近数週間のうちに活発に悪用されていることを明らかにしました。セキュリティ監視組織であるShadowserverは、金曜日に10,000台以上のFortinet製ファイアウォールが、2020年7月に脆弱性が開示されて以来、いまだにパッチが適用されていない状態であると警告しました。Fortinetは、影響を受けた可能性がある場合は同社に連絡するようユーザーに呼びかけています。
推奨される対策
この状況を踏まえ、Fortinet製品を使用している組織は、速やかに自社のデバイスが「CVE-2020-12812」の影響を受ける構成になっていないかを確認し、最新のセキュリティパッチを適用することが強く推奨されます。また、もし不審なアクセスや侵害の兆候が見られる場合は、直ちにFortinetまたは専門機関に報告し、適切な対応を取るべきです。