文章总结： Fortinet警告CVE-2020-12812漏洞正遭积极利用，该漏洞允许攻击者通过修改用户名大小写绕过FortiOSSSLVPN双因素认证。特定配置下，FortiGate区分大小写而LDAP不区分，导致身份验证回退跳过2FA。建议用户立即更新至修复版本或执行命令setusername-case-sensitivitydisable以缓解风险，防止凭据窃取及系统入侵。 综合评分： 85 文章分类： 漏洞预警,漏洞分析,威胁情报

五年前的 Fortinet FortiOS SSL VPN 漏洞已被持续利用

会杀毒的单反狗

军哥网络安全读报

2025年12月26日 09:01 湖北

导读

Fortinet 研究人员发现，FortiOS SSL VPN 中一个存在五年的安全漏洞（编号为CVE-2020-12812  ，CVSS 评分为 5.2）近期遭到“积极利用”。在某些配置下，该漏洞已被用于实际攻击。

CVE-2020-12812 是 FortiOS SSL VPN 中的一个身份验证缺陷，可能允许用户通过更改用户名的大小写来绕过双因素身份验证，从而在无需提示输入第二个身份验证因素的情况下成功登录。

“FortiOS 的 SSL VPN 中存在一个身份验证漏洞，如果用户更改了用户名的大小写，则可能无需输入第二重身份验证因素（FortiToken）即可成功登录。”供应商发布的安全公告中写道。

“当在‘用户本地’设置中启用双因素身份验证，且该用户身份验证类型设置为远程身份验证方法（例如 LDAP）时，就会出现此问题。该问题是由于本地身份验证和远程身份验证在区分大小写方面存在不一致造成的。”

在某些配置下，由于 FortiGate 对用户名区分大小写，而 LDAP 本身不区分大小写，因此 FortiGate 可能允许 LDAP 用户绕过双因素身份验证 (2FA)。

如果用户输入的用户名大小写不同，FortiGate 可能会跳过本地 2FA 用户，直接通过 LDAP 组策略进行身份验证。这可能导致管理员或 VPN 用户在未进行 2FA 验证的情况下访问系统，从而可能危及系统安全，并需要重置所有凭据。

当 FortiGate 将本地双因素身份验证 (2FA) 用户链接到 LDAP，且这些用户同时属于身份验证策略中使用的 LDAP 组，并且登录时用户名大小写不一致时，就会出现此问题。大小写不匹配会导致无法匹配本地 2FA 用户，从而使 FortiGate 回退到 LDAP 身份验证，并可能绕过 2FA。

Fortinet 表示：“这种特殊的身份验证行为是由于 FortiGate 默认将用户名区分大小写，而 LDAP 目录则不区分大小写造成的。”

要触发此问题，组织必须具备以下配置：

• FortiGate 上的本地用户条目启用了双因素身份验证 (2FA)，并引用 LDAP。
• 相同的用户需要同时是 LDAP 服务器上的某个组的成员。
• FortiGate 上至少需要配置一个双因素用户所属的 LDAP 组，并且该组需要用于身份验证策略中，该策略可以包含例如管理用户、SSL 或 IPSEC VPN。

Fortinet 于 2020 年 7 月修复了 FortiOS 6.0.10、6.2.4 和 6.4.1 中的漏洞。

尚未运行受影响的 FortiOS 版本的组织可以通过为所有本地用户执行以下命令来缓解身份验证绕过问题：

set username-case-sensitivity disable

使用 FortiOS 6.0.13、6.2.10、6.4.7、7.0.1 或更高版本的用户应应用以下设置：

set username-sensitivity disable

禁用用户名区分功能后，FortiGate 会将所有用户名大小写变体视为相同，从而防止回退到配置错误的 LDAP 组。

2021 年 4 月，美国联邦调查局 (FBI) 和网络安全与基础设施安全局 (CISA)发布联合警报，警告 APT 组织利用多种漏洞（包括 CVE-2020-12812）对 Fortinet FortiOS 服务器发起攻击。

2021 年 7 月，美国网络安全和基础设施安全局 (CISA)、澳大利亚网络安全中心 (ACSC)、英国国家网络安全中心 (NCSC) 和美国联邦调查局 (FBI)发布了一份联合网络安全咨询报告，详细介绍了 2020 年威胁行为者利用的前 30 个漏洞，其中包括 CVE-2020-12812。

2021 年 3 月，与伊朗有关联的 APT 组织利用Fortinet FortiOS 漏洞（例如 CVE-2018-13379、  CVE-2019-5591和 CVE-2020-12812） 入侵目标网络。

2022年5月，Secureworks反威胁部门（CTU）的研究人员调查了一系列由与伊朗有关联的 COBALT MIRAGE APT组织发起的攻击。该威胁组织至少从2020年6月起就一直活跃，并且与伊朗的COBALT ILLUSION 组织（又名 APT35、  Charming Kitten、  PHOSPHOROUS 和 TunnelVision ） 有关联 。

研究人员发现了与 COBALT MIRAGE 相关的两个不同的入侵集群（分别标记为集群 A 和集群 B），该集群被发现利用了 CVE-2020-12812 漏洞。

据观察，Hive勒索软件运营者在2022年的攻击中也利用了同样的漏洞。

FortiGate官方安全公告：

https://www.fortiguard.com/psirt/FG-IR-19-283

新闻链接：

Five-year-old Fortinet FortiOS SSL VPN vulnerability actively exploited

扫码关注

军哥网络安全读报

讲述普通人能听懂的安全故事

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：军哥网络安全读报 会杀毒的单反狗《五年前的 Fortinet FortiOS SSL VPN 漏洞已被持续利用》