超万台Fortinet防火墙暴露于正被积极利用的双因素认证绕过漏洞

超过10,000台Fortinet防火墙目前仍暴露在互联网上，易受利用一个已存在五年的关键双因素认证（2FA）绕过漏洞的持续攻击。

Fortinet于2020年7月发布了FortiOS版本6.4.1、6.2.4和6.0.10以修复此漏洞（追踪编号为CVE-2020-12812），并建议无法立即打补丁的管理员关闭用户名大小写敏感功能，以阻止针对其设备的2FA绕过尝试。

这个不当身份验证安全漏洞（严重性评分为9.8/10）存在于FortiGate SSL VPN中，当用户名大小写改变时，允许攻击者在无需输入第二因素认证（FortiToken）的情况下登录未打补丁的防火墙。

上周，Fortinet警告客户，攻击者仍在利用CVE-2020-12812，针对那些需要启用LDAP（轻量级目录访问协议）的、存在漏洞配置的防火墙。

"Fortinet观察到，基于特定配置，2020年7月的漏洞FG-IR-19-283 / CVE-2020-12812近期在野外被滥用，"该公司表示。

上周五，互联网安全监督机构Shadowserver透露，其目前追踪到超过10,000台Fortinet防火墙仍暴露在互联网上，这些设备未针对CVE-2020-12812打补丁，易受这些持续攻击，其中超过1,300个IP地址位于美国。

暴露于CVE-2020-12812攻击的Fortinet防火墙（Shadowserver）

CISA和FBI在2021年4月曾警告，国家资助的黑客组织正在利用多个漏洞（包括一个滥用CVE-2020-12812来绕过2FA的漏洞）攻击Fortinet FortiOS实例。

七个月后，CISA将CVE-2020-12812添加到其已知被利用漏洞列表中，将其标记为在勒索软件攻击中被利用，并命令美国联邦机构在2022年5月前保护其系统。

Fortinet漏洞在攻击中经常被利用（通常作为零日漏洞）。例如，网络安全公司Arctic Wolf在12月警告，威胁行为者已经在滥用一个关键的身份验证绕过漏洞（CVE-2025-59718），通过恶意单点登录（SSO）来劫持管理员账户。

此前一个月，Fortinet警告了一个正被积极利用的FortiWeb零日漏洞（CVE-2025-58034），一周后，它确认已静默修补了第二个在广泛攻击中被滥用的FortiWeb零日漏洞（CVE-2025-64446）。

2025年2月，它还披露，中国黑客组织"伏特台风"（Volt Typhoon）利用了两个FortiOS漏洞（CVE-2023-27997和CVE-2022-42475），使用定制的Coathanger远程访问木马恶意软件，在荷兰国防部的一个军事网络中植入后门。