Fortinet on julkaissut vakavan tietoturvavaroituksen, jossa se kertoo havainneensa aktiivista hyväksikäyttöä vanhasta FortiGate-haavoittuvuudesta (FG-IR-19-283, CVE-2020-12812). Vaikka haavoittuvuus on alun perin tunnistettu jo vuonna 2020, sitä hyödynnetään nyt uudelleen todellisissa hyökkäyksissä eri puolilla maailmaa.
Tapauksen vakavuutta lisää se, että haavoittuvuus mahdollistaa kaksivaiheisen tunnistautumisen (2FA/MFA) ohittamisen, mikä tekee siitä erityisen houkuttelevan hyökkääjille.
Mistä haavoittuvuudessa on kyse?
Haavoittuvuus koskee FortiGate-palomuureja tilanteissa, joissa käyttäjät tunnistetaan LDAP-hakemistopalvelun (esimerkiksi Active Directoryn) kautta ja samalla käytetään paikallisia käyttäjätilejä sekä kaksivaiheista tunnistautumista.
Tekninen ongelma liittyy käyttäjänimen kirjainkoon käsittelyyn:
-
FortiGate käsittelee käyttäjänimiä kirjainkoon mukaan (case-sensitive)
-
LDAP-hakemistot taas eivät yleensä huomioi kirjainkokoa
Tämä ero mahdollistaa tilanteen, jossa hyökkääjä voi kirjautua sisään muuttamalla käyttäjänimen kirjainkokoa (esim. niko → Niko) ja ohittaa 2FA-tarkistuksen kokonaan, jos järjestelmä on konfiguroitu tietyllä tavalla.
Miksi tämä on erityisen huolestuttavaa?
Fortinetin tuore PSIRT-analyysi osoittaa, että haavoittuvuutta hyödynnetään aktiivisesti tuotantoympäristöissä – ei pelkästään teoriassa tai laboratorio-olosuhteissa. Tämä tarkoittaa, että:
-
Hyökkääjä voi päästä VPN-yhteyksiin tai hallintaliikenteeseen
-
MFA-suojaus ei välttämättä estä murtautumista
-
Organisaatio voi luulla olevansa suojattu, vaikka todellinen riski on korkea
Kyseessä on hyvä esimerkki siitä, kuinka vanhatkin haavoittuvuudet nousevat uudelleen esiin, jos päivitykset ja konfiguraatiot jäävät tekemättä.
Ketkä ovat riskissä?
Ympäristö on altis, jos:
-
Käytössä on FortiGate-laite
-
Autentikointi tapahtuu LDAP:n kautta
-
Käyttäjillä on paikallisia tilejä ja 2FA käytössä
-
FortiOS-versio tai asetukset eivät sisällä korjausta
Monissa organisaatioissa tällainen kokoonpano on käytössä erityisesti VPN-ratkaisuissa, mikä tekee riskistä kriittisen etätyöympäristöissä.
Miten haavoittuvuus korjataan?
Fortinet on julkaissut korjaukset jo aiemmin, ja ne sisältyvät muun muassa seuraaviin FortiOS-versioihin:
-
6.0.10 ja uudemmat
-
6.2.4 ja uudemmat
-
6.4.1 ja uudemmat
Lisäksi Fortinet suosittelee tarkistamaan asetuksen, joka poistaa käyttäjänimen kirjainkoon merkityksen
Tämä estää käyttäjänimien väärinkäytön kirjainkoon avulla.
Suomi Solutions auttaa varmistamaan ympäristösi turvallisuuden
Suomi Solutions seuraa aktiivisesti kansainvälisiä tietoturvavaroituksia ja auttaa asiakkaitaan tunnistamaan, arvioimaan ja korjaamaan tällaiset riskit ennen kuin niistä aiheutuu vahinkoa.
Jos organisaatiossasi on käytössä FortiGate-palomuuri tai VPN-ratkaisu, suosittelemme:
-
FortiOS-version tarkistamista ja päivittämistä
-
Todennus- ja MFA-asetusten läpikäyntiä
-
Lokien ja kirjautumisyritysten analysointia
-
Kokonaisvaltaista tietoturvatarkastusta
Tarvittaessa Suomi Solutions toteuttaa käytännönläheisen tietoturva-auditoinnin, jossa vastaavat riskit tunnistetaan ja dokumentoidaan selkeästi.
Yhteenveto
Fortinetin tuore varoitus muistuttaa tärkeästä perusasiasta:
tietoturva ei ole kertaluonteinen toimenpide, vaan jatkuva prosessi. Vanha haavoittuvuus voi muuttua uudelleen kriittiseksi, jos ympäristöä ei päivitetä ja valvota aktiivisesti.
Nyt on oikea hetki varmistaa, että omat palomuuri- ja tunnistusratkaisut ovat aidosti ajan tasalla – eivät vain näennäisesti suojattuja.
