ARKANET
Autor: Łukasz Lein
|
|
Publikacja: 12-01-2026
Tagi: Fortinet | luka
fortinet logo

Ponad 10 000 zapór Fortinet na całym świecie wciąż pozostaje podatnych na krytyczną lukę w MFA, która została załatana… ponad pięć lat temu. Atakujący mogą ominąć uwierzytelnianie dwuskładnikowe, zmieniając jedynie wielkość liter w nazwie użytkownika. Luka jest aktywnie wykorzystywana przez cyberprzestępców.

Mimo że podatność została oficjalnie załatana już kilka lat temu, tysiące urządzeń Fortinet nadal pozostaje narażonych na ataki. Chodzi o lukę CVE-2020-12812 (CVSS: 9,8), która umożliwia obejście uwierzytelniania wieloskładnikowego (MFA) w portalach FortiOS SSL VPN.

Na czym polega problem?

Luka dotyczy wersji:

  • FortiOS 6.4.0,
  • FortiOS 6.2.0–6.2.3,
  • FortiOS 6.0.9 i starszych.

Mechanizm MFA można obejść w wyjątkowo prosty sposób – wystarczy zmienić wielkość liter w nazwie użytkownika, np.: user → User. W efekcie drugi składnik uwierzytelniania (np. FortiToken) nie jest poprawnie weryfikowany, co umożliwia nieautoryzowany dostęp do sieci.

Luka znana i wykorzystywana od lat

Już w 2021 roku podatność została dodana do katalogu Known Exploited Vulnerabilities (KEV) amerykańskiej agencji CISA, po tym jak była wykorzystywana przez grupy ransomware.

W grudniu 2025 r. Fortinet ponownie wydał ostrzeżenie PSIRT, informując, że luka jest aktywnie wykorzystywana w atakach prowadzących do przejęć dostępu do sieci wewnętrznych.

Tysiące podatnych urządzeń w 2026 roku

Skanowanie przeprowadzone przez Shadowserver w styczniu 2026 r. wykazało, że:

  • ponad 10 000 urządzeń Fortinet nadal jest podatnych,
  • około 1 300 z nich znajduje się w USA.

To pokazuje, jak duża część infrastruktury bezpieczeństwa nadal działa na nieaktualnym i niebezpiecznym oprogramowaniu. 

Co zaleca Fortinet?

Producent rekomenduje:

  • Aktualizację do bezpiecznych wersji:
    • 6.0.10+
    • 6.2.4+
    • 6.4.1+
  • Weryfikację konfiguracji MFA.
  • Unikanie hybrydowych konfiguracji łączących lokalne uwierzytelnianie z LDAP.

Wnioski dla administratorów

Ta sytuacja pokazuje, że samo posiadanie mechanizmów bezpieczeństwa nie gwarantuje realnej ochrony, jeśli nie są one poprawnie skonfigurowane i regularnie aktualizowane. Nawet krytyczne podatności o wysokim współczynniku CVSS mogą pozostawać niewykorzystane przez obrońców, a jednocześnie aktywnie wykorzystywane przez atakujących przez wiele lat. Administratorzy powinni traktować aktualizacje systemów VPN i zapór sieciowych jako priorytetowe zadanie operacyjne, a nie jako element odkładany na później. Równie istotna jest regularna weryfikacja konfiguracji MFA, zwłaszcza w środowiskach korzystających z hybrydowych metod uwierzytelniania. Każda ekspozycja usług zdalnego dostępu do Internetu powinna być objęta ciągłym monitoringiem, testami podatności oraz okresowymi audytami bezpieczeństwa, aby uniknąć sytuacji, w której prosta luka konfiguracyjna może prowadzić do poważnego naruszenia bezpieczeństwa infrastruktury firmowej.

Źródła:

Tagi: Fortinet | luka

O autorze: Łukasz Lein

Product manager - Opiekun marki Symantec
Od blisko 10 lat w firmie Arkanet. Bacznie śledzi ruchy cyberprzestępczości w Polsce i na świecie, dzięki czemu wie, jak pomóc klientom zabezpieczyć swoją sieć firmową przed wszelkimi atakami. Z zamiłowania, po pracy, aktywny "piłkokopacz".

Jesteśmy dla Ciebie

4.9 36 opinii
Zobacz opinie
DB
Dawid Baczewski
14-04-2023
Współpracuję z Arkanet już kilkanaście lat - zawsze wszystko na czas i w dobrych cenach. Firma zapewnia również wsparcie dla zakupionych produktów.
ŁS
Łukasz Sokołowski
05-02-2024
Bardzo dobry kontakt i przyjazna obsługa. Realizacja zamówień przebiegała jak dotąd szybko i bez problemów. Dziękujemy.
WW
Wienia W
03-10-2023
Współpracuję z firmą Arkanet już kilka ładnych lat i jak na razie nie zamierzam zmieniać na inną firmę - fachowa pomoc i doradztwo, pełen profesjonalizm, szybki kontakt co jest w dzisiejszych czasach bardzo ważne - polecam.
Halo. Zróbmy coś razem
Zamów rozmowę z konsultantem, oddzwonimy.
Zadaj pytanie
Potrzebujesz negocjować warunki oferty? Dodaj produkt na listę do wyceny i wyślij nam, a my sprawdzimy co możemy dla Ciebie zrobić