Fortinet kembali mengingatkan para pelanggannya bahwa sebuah kerentanan kritis pada FortiOS yang telah diperbaiki sejak lima tahun lalu masih aktif dieksploitasi oleh pelaku ancaman. Celah keamanan ini memungkinkan penyerang melewati mekanisme autentikasi dua faktor (2FA) pada perangkat firewall FortiGate yang belum diperbarui.
Kerentanan tersebut dilacak sebagai CVE-2020-12812 dan ditemukan pada fitur SSL VPN FortiGate. Melalui celah ini, penyerang dapat masuk ke sistem tanpa harus melewati verifikasi faktor kedua FortiToken, cukup dengan memanipulasi perbedaan huruf besar dan kecil pada nama pengguna. Masalah ini muncul akibat ketidakkonsistenan pencocokan sensitivitas huruf antara autentikasi lokal dan autentikasi jarak jauh.
Fortinet menjelaskan bahwa kondisi ini terjadi ketika 2FA diaktifkan pada pengaturan pengguna lokal, sementara metode autentikasi yang digunakan mengandalkan sistem eksternal seperti LDAP. Ketidaksinkronan tersebut membuka peluang bagi penyerang untuk menghindari proses autentikasi tambahan.
Perusahaan telah merilis pembaruan FortiOS versi 6.4.1, 6.2.4, dan 6.0.10 pada Juli 2020 untuk menutup celah ini. Bagi administrator yang saat itu belum dapat menerapkan pembaruan, Fortinet menyarankan untuk menonaktifkan sensitivitas huruf pada nama pengguna sebagai langkah mitigasi sementara.
Meski demikian, Fortinet mengonfirmasi bahwa eksploitasi CVE-2020-12812 masih terdeteksi di lapangan hingga saat ini. Serangan terbaru menargetkan firewall yang menggunakan LDAP sebagai metode autentikasi. Agar sebuah sistem benar-benar rentan, diperlukan kombinasi konfigurasi tertentu, termasuk adanya akun pengguna lokal yang diwajibkan menggunakan 2FA, terhubung ke LDAP, serta menjadi anggota grup LDAP yang juga dikonfigurasi di FortiGate.
Fortinet menyoroti bahwa salah satu faktor utama yang memungkinkan eksploitasi berkelanjutan adalah kesalahan konfigurasi grup LDAP sekunder. Grup ini biasanya digunakan ketika autentikasi LDAP utama gagal. Jika grup sekunder tersebut tidak diperlukan, Fortinet menyarankan agar segera dihapus untuk mengurangi risiko penyalahgunaan.
Riwayat eksploitasi celah ini cukup panjang. Pada April 2021, otoritas keamanan siber Amerika Serikat telah memperingatkan adanya serangan oleh aktor negara yang memanfaatkan berbagai kerentanan FortiOS, termasuk CVE-2020-12812. Beberapa bulan kemudian, celah ini dimasukkan ke dalam katalog kerentanan yang diketahui telah dieksploitasi, dengan laporan keterkaitan pada serangan ransomware dan instruksi bagi lembaga pemerintah untuk segera mengamankan sistem mereka.
Fortinet juga menegaskan bahwa kerentanan pada produknya kerap menjadi target serangan, termasuk eksploitasi zero-day. Dalam beberapa kasus terbaru, perusahaan bahkan mengungkap adanya celah FortiWeb yang dieksploitasi secara aktif sebelum publik mengetahui detail teknisnya.
Peringatan terbaru ini menjadi pengingat bagi organisasi untuk tidak mengabaikan pembaruan keamanan lama, terutama pada perangkat perimeter seperti firewall, karena celah yang telah berusia bertahun-tahun pun masih dapat dimanfaatkan secara efektif oleh penyerang.