أفادت شركة Fortinet برصد “استغلال حديث” لثغرة أمنية قديمة تعود لخمس سنوات في نظام FortiOS SSL VPN، وذلك تحت تكوينات معينة. تأتي هذه الأنباء بالتزامن مع تزايد المخاوف بشأن الأمن السيبراني واستهدف الأنظمة الهامة.
الثغرة المعنية، والتي تحمل الرقم CVE-2020-12812، هي ثغرة في آلية المصادقة في FortiOS SSL VPN. تسمح هذه الثغرة لمستخدمين بتسجيل الدخول بنجاح دون الحاجة للعامل الثاني للمصادقة، في حال تم تغيير حالة أحرف اسم المستخدم.
ثغرة CVE-2020-12812 تثير قلق الأمن السيبراني
وأوضحت Fortinet في يوليو 2020 أن هذا الخلل يحدث عندما تكون المصادقة الثنائية مفعلة في إعداد “المستخدم المحلي”، ونوع مصادقة هذا المستخدم مضبوط على طريقة مصادقة بعيدة مثل LDAP. يعود سبب المشكلة إلى عدم تطابق حالة الأحرف بين المصادقة المحلية والمصادقة البعيدة.
من جهة أخرى، شهدت هذه الثغرة الأمنية استغلالاً فعلياً من قبل جهات تهديد متعددة، حيث أدرجت الحكومة الأمريكية هذه الثغرة ضمن قائمة نقاط الضعف التي تم استغلالها في هجمات استهدفت أجهزة الحافة عام 2021.
في تحديث حديث صادر في 24 ديسمبر 2025، أشارت Fortinet إلى أن استغلال CVE-2020-12812 يتطلب وجود التكوينات التالية:
متطلبات استغلال الثغرة
تتضمن هذه المتطلبات وجود إدخالات مستخدمين محلية على جهاز FortiGate مع تفعيل المصادقة الثنائية، والتي تشير إلى خادم LDAP. يجب أن يكون هؤلاء المستخدمون أنفسهم أعضاء في مجموعة على خادم LDAP. بالإضافة إلى ذلك، يجب أن تكون هناك مجموعة LDAP واحدة على الأقل تم تكوينها على FortiGate، ويستخدم هذا المستخدمون عضويتهم فيها في سياسة مصادقة، مثل مصادقة المستخدمين الإداريين، أو SSL، أو IPSEC VPN.
في حال استيفاء هذه الشروط المسبقة، تسمح الثغرة للمستخدمين الذين يستخدمون LDAP مع المصادقة الثنائية بتجاوز طبقة الأمان والمصادقة مباشرة عبر LDAP. ينبع هذا من التعامل غير المتناسق مع حالة الأحرف في أسماء المستخدمين بين FortiGate وLDAP Directory، حيث تعتبر FortiGate أن الأحرف حساسة لحالة الأحرف، بينما لا يعتبر LDAP ذلك.
ووفقاً لشركة Fortinet، عندما يقوم المستخدم بتسجيل الدخول باستخدام “Jsmith”، أو “jSmith”، أو “JSmith”، أو أي تهجئة لا تتطابق تمامًا مع “jsmith”، فإن FortiGate لن يتطابق مع المستخدم المحلي. هذا السيناريو يدفع FortiGate للبحث عن خيارات مصادقة أخرى، والتحقق من سياسات مصادقة جدار الحماية الأخرى المهيأة.
بعد فشل المطابقة مع “jsmith”، تبحث FortiGate عن مجموعة المصادقة الثانوية “Auth-Group”، ومنها تصل إلى خادم LDAP. إذا كانت بيانات الاعتماد صحيحة، تنجح عملية المصادقة بغض النظر عن أي إعدادات داخل سياسة المستخدم المحلي، بما في ذلك المصادقة الثنائية أو الحسابات المعطلة.
نتيجة لذلك، يمكن للثغرة أن تسمح بمصادقة مستخدمي إدارة أو VPN دون الحاجة للمصادقة الثنائية. جدير بالذكر أن Fortinet أصدرت تحديثات FortiOS 6.0.10، 6.2.4، و 6.4.1 في يوليو 2020 لمعالجة هذا السلوك. للمؤسسات التي لم تقم بتثبيت هذه الإصدارات، يمكن تنفيذ الأمر التالي لجميع حسابات المستخدمين المحليين لمنع تجاوز المصادقة.
runset username-case-sensitivity disable
ينصح العملاء الذين يستخدمون إصدارات FortiOS 6.0.13، 6.2.10، 6.4.7، 7.0.1، أو أحدث بتنفيذ الأمر التالي:
runset username-sensitivity disable
أوضحت الشركة أنه عند ضبط حساسيه اسم المستخدم على “معطل”، فإن FortiGate ستعامل jsmith، JSmith، JSMITH، وجميع التركيبات الممكنة كأنها متطابقة، وبالتالي ستمنع الفشل في أي إعداد آخر لمجموعة LDAP غير مهيأ بشكل صحيح.
كإجراء تخفيف إضافي، يُنصح بإزالة مجموعة LDAP الثانوية إذا لم تكن مطلوبة، لأن ذلك يلغي خط الهجوم بأكمله، حيث لن تكون المصادقة عبر مجموعة LDAP ممكنة، وسيفشل المستخدم في المصادقة إذا لم يتطابق اسم المستخدم مع الإدخال المحلي.
ومع ذلك، لا يقدم التوجيه الجديد أي تفاصيل حول طبيعة الهجمات التي استغلت الثغرة، أو ما إذا كانت أي من هذه الحوادث قد نجحت. كما نصحت Fortinet العملاء المتأثرين بالاتصال بفريق الدعم الخاص بها وإعادة تعيين جميع بيانات الاعتماد إذا وجدوا دليلًا على مصادقة مستخدمي الإدارة أو VPN دون المصادقة الثنائية.