Одна заглавная буква может стоить всей корпоративной сети – древняя проблема Fortinet снова в прицеле хакеров
NewsMakerНеправильная конфигурация LDAP-групп превращает 2FA в декоративную наклейку.
Fortinet предупредила администраторов о том, что в реальных атаках вновь начали злоупотреблять уязвимостью FG-IR-19-283 ( CVE-2020-12812 ), известной с июля 2020 года: при определённых настройках FortiGate можно обойти двухфакторную аутентификацию и войти «как будто 2FA не существует». Компания описывает механизм обхода и объясняет, как быстро проверить, не попадает ли ваша конфигурация в группу риска.
Суть проблемы в том, что FortiGate по умолчанию считает имена пользователей регистрозависимыми, а LDAP-каталог — нет. Из-за этой разницы устройство может «не узнать» пользователя, если он введёт логин с другой комбинацией заглавных и строчных букв, и тогда начнёт искать альтернативные способы аутентификации по другим правилам, которые администратор включил в политики доступа.
Сценарий, при котором возникает уязвимость, завязан на сочетание локальных учётных записей на FortiGate с включённой 2FA и привязкой к LDAP, а также на использование LDAP-групп в политиках аутентификации (например, для админ-доступа или для SSL/IPsec VPN). Дальше всё упирается в «похожий, но не такой» логин: если пользователь входит в VPN как jsmith, FortiGate находит локальную запись и запрашивает токен.
Но если тот же человек (или злоумышленник с его паролем) вводит Jsmith, jSmith или любую другую комбинацию, которая не совпадает с регистром в локальной записи, FortiGate не сопоставляет логин с локальным пользователем и переключается на другие варианты — например, на аутентификацию через вторую, отдельно настроенную LDAP-группу. При корректных учётных данных вход проходит уже через LDAP, и настройки локального пользователя вроде 2FA или даже отключённой учётки могут быть фактически проигнорированы.
Fortinet предупредила администраторов о том, что в реальных атаках вновь начали злоупотреблять уязвимостью FG-IR-19-283 ( CVE-2020-12812 ), известной с июля 2020 года: при определённых настройках FortiGate можно обойти двухфакторную аутентификацию и войти «как будто 2FA не существует». Компания описывает механизм обхода и объясняет, как быстро проверить, не попадает ли ваша конфигурация в группу риска.
Суть проблемы в том, что FortiGate по умолчанию считает имена пользователей регистрозависимыми, а LDAP-каталог — нет. Из-за этой разницы устройство может «не узнать» пользователя, если он введёт логин с другой комбинацией заглавных и строчных букв, и тогда начнёт искать альтернативные способы аутентификации по другим правилам, которые администратор включил в политики доступа.
Сценарий, при котором возникает уязвимость, завязан на сочетание локальных учётных записей на FortiGate с включённой 2FA и привязкой к LDAP, а также на использование LDAP-групп в политиках аутентификации (например, для админ-доступа или для SSL/IPsec VPN). Дальше всё упирается в «похожий, но не такой» логин: если пользователь входит в VPN как jsmith, FortiGate находит локальную запись и запрашивает токен.
Но если тот же человек (или злоумышленник с его паролем) вводит Jsmith, jSmith или любую другую комбинацию, которая не совпадает с регистром в локальной записи, FortiGate не сопоставляет логин с локальным пользователем и переключается на другие варианты — например, на аутентификацию через вторую, отдельно настроенную LDAP-группу. При корректных учётных данных вход проходит уже через LDAP, и настройки локального пользователя вроде 2FA или даже отключённой учётки могут быть фактически проигнорированы.