Ponad 10 tys. firewalli Fortinet wciąż podatnych na obejście 2FA: powrót CVE-2020-12812 w kampaniach ataków

Wprowadzenie do problemu / definicja luki

W styczniu 2026 r. ponownie głośno zrobiło się o CVE-2020-12812 – luce w FortiOS SSL VPN, która pozwala ominąć drugi składnik uwierzytelniania (FortiToken/2FA) w określonej konfiguracji. Co istotne, mimo iż poprawki są dostępne od lipca 2020 r., w internecie przez cały czas widać ponad 10 000 urządzeń Fortinet wystawionych na ataki wykorzystujące tę podatność.

CVE-2020-12812 to klasyczny przykład ryzyka na styku „patching + konfiguracja + urządzenia brzegowe”: choćby jeżeli organizacja „ma 2FA”, błędne założenia o tym, jak działa dopasowanie tożsamości użytkownika (np. wielkość liter w loginie) mogą otworzyć furtkę.

W skrócie

• Co to jest? Luka „improper authentication” w FortiOS SSL VPN, umożliwiająca zalogowanie bez wywołania drugiego składnika (2FA) po zmianie wielkości liter w nazwie użytkownika.
• Jak poważna? CVSS v3.1: 9.8 (Critical).
• Kogo dotyczy? Wg NVD m.in. FortiOS: 6.4.0, 6.2.0–6.2.3, 6.0.9 i niżej (naprawione odpowiednio w 6.4.1 / 6.2.4 / 6.0.10).
• Czy to jest realnie wykorzystywane? Fortinet opublikował analizę „Observed Abuse” i potwierdził nadużycia w środowiskach produkcyjnych (grudzień 2025).
• Skala ekspozycji: raporty monitoringu internetu wskazują na >10k niezałatanych urządzeń widocznych publicznie.

Kontekst / historia / powiązania

Choć CVE ma „2020” w nazwie, problem jest dziś aktualny z trzech powodów:

1. Urządzenia brzegowe (SSL VPN) są stale skanowane, a „stare” luki pozostają opłacalne, bo część organizacji nie aktualizuje firmware’u lub ma ograniczenia utrzymaniowe.
2. Konfiguracja jest kluczowa: ten bypass nie musi działać na każdym FortiGate – zwykle wymaga specyficznego zestawu ustawień związanych z LDAP i sposobem mapowania użytkowników.
3. CVE-2020-12812 znajduje się w kontekście szerszego trendu: SSL VPN (Fortinet i nie tylko) to „złota żyła” dla operatorów ransomware i grup APT, bo daje szybki dostęp do sieci wewnętrznej.

NVD wskazuje też, iż ta podatność jest ujęta w katalogu Known Exploited Vulnerabilities (KEV) CISA (z datą dodania i terminem wymuszenia działań dla agencji federalnych USA).

Analiza techniczna / szczegóły luki

Sedno problemu: różnica w traktowaniu wielkości liter

Fortinet opisuje mechanizm bardzo konkretnie: FortiGate domyślnie traktuje nazwy użytkowników jako case-sensitive, podczas gdy LDAP/AD zwykle nie. W określonej konfiguracji prowadzi to do sytuacji, w której zmiana wielkości liter w loginie powoduje „rozminięcie się” z lokalnym wpisem użytkownika na urządzeniu i ominięcie ścieżki 2FA.

Warunki podatności (prerequisites) – kiedy to działa?

Zgodnie z analizą Fortinet, organizacja musi mieć łącznie m.in.:

• lokalne wpisy użytkowników na FortiGate z włączonym 2FA, które odwołują się do LDAP,
• tych samych użytkowników w grupach na serwerze LDAP,
• co najmniej jedną z tych grup skonfigurowaną na FortiGate i użytą w polityce uwierzytelniania (np. admin, SSL VPN, IPsec VPN).

Scenariusz obejścia 2FA

Fortinet podaje przykład:

• logowanie jako jsmith → dopasowanie do lokalnego użytkownika → token jest wymagany,
• logowanie jako Jsmith / jSmith itd. → brak dopasowania „case-exact” do lokalnego wpisu → FortiGate przechodzi do alternatywnych polityk uwierzytelniania i może uwierzytelnić użytkownika bez drugiego składnika.

To ważne operacyjnie: atakujący nie musi „łamać” 2FA kryptograficznie. Wykorzystuje logikę dopasowania tożsamości w łańcuchu auth.

Praktyczne konsekwencje / ryzyko

Jeśli SSL VPN jest wystawiony do internetu (a często jest), a konfiguracja spełnia warunki podatności, skutki mogą obejmować:

• nieautoryzowany dostęp zdalny do sieci (wejście przez VPN),
• eskalację (np. przez dostęp do zasobów wewnętrznych po VPN),
• zwiększone ryzyko incydentów typu ransomware / human-operated intrusions, gdzie pierwszym krokiem jest stabilny dostęp do sieci ofiary.

Dodatkowo, obserwowana skala niezałatanych systemów (ponad 10 tys.) oznacza, iż atakujący mogą prowadzić ciągłe, zautomatyzowane kampanie nastawione na „łatwe trafienia”.

Rekomendacje operacyjne / co zrobić teraz

Poniżej lista działań w kolejności, która zwykle daje najszybszy spadek ryzyka:

1) Ustal, czy jesteś w zakresie wersji podatnych

Według NVD podatność dotyczy m.in. FortiOS 6.4.0, 6.2.0–6.2.3, 6.0.9 i niżej; poprawki: 6.4.1+, 6.2.4+, 6.0.10+.

2) Sprawdź, czy masz „podatną konfigurację LDAP + local users + 2FA”

Zweryfikuj dokładnie warunki opisane przez Fortinet (lokalne wpisy z 2FA „wracające” do LDAP + grupy LDAP użyte w politykach auth).

3) Wprowadź mitigację konfiguracyjną (jeśli nie możesz natychmiast aktualizować)

Fortinet wskazuje wyłączenie wrażliwości na wielkość liter dla nazw użytkowników na kontach lokalnych (nazwy poleceń zależą od wersji).

Przykładowo (logika wg Fortinet – dostosuj do swojej wersji i standardów zmian):

# Na starszych wersjach (wg Fortinet) set username-case-sensitivity disable # Na nowszych wersjach (wg Fortinet: v6.0.13, v6.2.10, v6.4.7, v7.0.1+) set username-sensitivity disable

4) Ogranicz ekspozycję SSL VPN i powierzchnię ataku

• Jeśli możesz: nie wystawiaj SSL VPN publicznie (dostęp tylko z sieci zaufanych / przez bastion).
• Wymuś allowlist IP, geofencing (jeśli sensowne biznesowo), oraz twarde reguły IDS/IPS na brzegach.

5) Wykrywanie i monitoring (quick wins)

• Szukaj w logach prób logowania z nietypową kapitalizacją (Jsmith, jsmiTh) oraz wzorców „success bez token prompt”.
• Koreluj zdarzenia VPN z nietypowych ASN/VPN hostingów i świeżymi kontami/zmianami w grupach LDAP.

Różnice / porównania z innymi przypadkami

CVE-2020-12812 jest inne niż wiele popularnych luk SSL VPN, bo to błąd logiczny w procesie auth, a nie typowe RCE. W praktyce jednak efekt bywa podobny: uzyskanie dostępu do brzegu sieci. Tenable zwraca uwagę, iż równolegle (historycznie) mocno wykorzystywane były też inne luki Fortinet/SSL VPN (np. odczyt plików / path traversal), a „legacy VPN vulns” pozostają atrakcyjne dla APT i ransomware.

Wniosek: MFA nie jest „magiczną tarczą”, jeżeli integracja tożsamości i polityki uwierzytelniania mają rozjazdy (tu: case-sensitivity).

Podsumowanie / najważniejsze wnioski

• CVE-2020-12812 to krytyczna luka (CVSS 9.8) w FortiOS SSL VPN, pozwalająca ominąć 2FA przez manipulację wielkością liter w loginie – ale tylko w określonej konfiguracji LDAP/2FA.
• Fortinet potwierdził nadużycia w realnych atakach (grudzień 2025), a monitoring internetu wskazuje >10 tys. publicznie wystawionych, niezałatanych urządzeń.
• Najskuteczniejsze działania „na już”: aktualizacja do wersji naprawionych + mitigacja case-sensitivity + ograniczenie ekspozycji SSL VPN.

Źródła / bibliografia

1. BleepingComputer – „Over 10K Fortinet firewalls exposed to actively exploited 2FA bypass” (02.01.2026) (BleepingComputer)
2. Fortinet PSIRT Blog – „Observed Abuse of FG-IR-19-283 / CVE-2020-12812” (24.12.2025) (Fortinet)
3. NVD (NIST) – karta podatności CVE-2020-12812 (opis, CVSS, wersje, KEV) (NVD)
4. Tenable – „Fortinet vulnerabilities targeted by APT actors” (08.04.2021) (Tenable®)