Fortinet Çarşamba günü yaptığı açıklamada, belirli yapılandırmalar altında FortiOS SSL VPN’de beş yıllık bir güvenlik açığının “son zamanlarda kötüye kullanıldığını” gözlemlediğini söyledi.
Söz konusu güvenlik açığı CVE-2020-12812 (CVSS puanı: 5.2), FortiOS’taki SSL VPN’de, kullanıcı adının büyük/küçük harfinin değiştirilmesi durumunda kullanıcının ikinci kimlik doğrulama faktörü istenmeden başarılı bir şekilde oturum açmasına olanak tanıyan uygunsuz bir kimlik doğrulama güvenlik açığı.
Fortinet Temmuz 2020’de “Bu, ‘yerel kullanıcı’ ayarında iki faktörlü kimlik doğrulama etkinleştirildiğinde ve kullanıcı kimlik doğrulama türü bir uzaktan kimlik doğrulama yöntemine (örn. LDAP) ayarlandığında meydana geliyor.” “Sorun, yerel ve uzaktan kimlik doğrulama arasındaki tutarsız büyük/küçük harf duyarlılığı nedeniyle ortaya çıkıyor.”
Güvenlik açığı o zamandan bu yana birden fazla tehdit aktörü tarafından aktif olarak istismar edildi ve ABD hükümeti de bunu 2021’de çevre tipi cihazları hedef alan saldırılarda silah olarak kullanılan birçok zayıflıktan biri olarak listeledi.
24 Aralık 2025’te yayınlanan yeni bir danışma belgesinde Fortinet, CVE-2020-12812’nin başarıyla tetiklenmesinin aşağıdaki yapılandırmanın mevcut olmasını gerektirdiğini belirtti:
- FortiGate’te 2FA ile LDAP’ye referans veren yerel kullanıcı girişleri
- Aynı kullanıcıların LDAP sunucusundaki bir grubun üyesi olması gerekir
- İki faktörlü kullanıcıların üyesi olduğu en az bir LDAP grubunun FortiGate’te yapılandırılması gerekir ve grubun, örneğin yönetici kullanıcıları, SSL veya IPSEC VPN’i içerebilecek bir kimlik doğrulama politikasında kullanılması gerekir
Bu önkoşullar yerine getirilirse, güvenlik açığı, 2FA yapılandırılmış LDAP kullanıcılarının güvenlik katmanını atlamasına ve bunun yerine doğrudan LDAP’ye karşı kimlik doğrulaması yapmasına neden olur; bu da FortiGate’in kullanıcı adlarını büyük/küçük harfe duyarlı olarak ele alması, ancak LDAP Dizininin bunu yapmamasının bir sonucudur.
Fortinet, “Kullanıcı ‘Jsmith’ veya ‘jSmith’ veya ‘JSmith’ veya ‘jsmiTh’ ile veya ‘jsmith’ ile tam olarak eşleşmeyen herhangi bir şeyle giriş yaparsa, FortiGate giriş bilgilerini yerel kullanıcıyla eşleştirmeyecektir,” diye açıkladı Fortinet. “Bu yapılandırma, FortiGate’in diğer kimlik doğrulama seçeneklerini dikkate almasına neden olur. FortiGate, diğer yapılandırılmış güvenlik duvarı kimlik doğrulama politikalarını kontrol edecektir.”
“Jsmith’i eşleştirmede başarısız olduktan sonra FortiGate, ikincil yapılandırılmış ‘Auth-Group’ grubunu ve ondan LDAP sunucusunu bulur ve kimlik bilgilerinin doğru olması koşuluyla kimlik doğrulama, yerel kullanıcı politikasındaki herhangi bir ayardan (2FA ve devre dışı bırakılmış hesaplar) bağımsız olarak başarılı olacaktır.”
Sonuç olarak güvenlik açığı, yönetici veya VPN kullanıcılarının kimliğini 2FA olmadan doğrulayabiliyor. Fortinet, Temmuz 2020’de bu davranışı gidermek için FortiOS 6.0.10, 6.2.4 ve 6.4.1’i yayımladı. Bu sürümleri dağıtmayan kuruluşlar, kimlik doğrulama atlama sorununu önlemek amacıyla tüm yerel hesaplar için aşağıdaki komutu çalıştırabilir:
kullanıcı adı-büyük-küçük harf duyarlılığını devre dışı bırak
FortiOS 6.0.13, 6.2.10, 6.4.7, 7.0.1 veya sonraki sürümlerini kullanan müşterilerin aşağıdaki komutu çalıştırmaları önerilir:
kullanıcı adı duyarlılığını devre dışı bırak
Şirket, “Kullanıcı adı duyarlılığı devre dışı olarak ayarlandığında, FortiGate jsmith, JSmith, JSMITH ve tüm olası kombinasyonları aynı olarak ele alacak ve bu nedenle yanlış yapılandırılmış herhangi bir diğer LDAP grup ayarına devredilmeyi önleyecektir” dedi.
Ek bir hafifletme önlemi olarak, gerekmiyorsa ikincil LDAP Grubunu kaldırmayı düşünmek faydalı olacaktır; çünkü bu, LDAP grubu aracılığıyla kimlik doğrulamanın mümkün olmayacağından tüm saldırı hattını ortadan kaldırır ve kullanıcı adı yerel bir girişle eşleşmezse kullanıcı kimlik doğrulamasında başarısız olur.
Ancak yeni yayınlanan kılavuz, kusurdan yararlanan saldırıların niteliğine veya bu olaylardan herhangi birinin başarılı olup olmadığına ilişkin herhangi bir ayrıntı vermiyor. Fortinet ayrıca, durumdan etkilenen müşterilerine, yönetici veya VPN kullanıcılarının kimliklerinin 2FA olmadan doğrulandığına dair kanıt bulmaları durumunda destek ekibiyle iletişime geçmelerini ve tüm kimlik bilgilerini sıfırlamalarını tavsiye etti.