Ponad 10 000 zapór Fortinet na całym świecie wciąż pozostaje podatnych na krytyczną lukę w MFA, która została załatana… ponad pięć lat temu. Atakujący mogą ominąć uwierzytelnianie dwuskładnikowe, zmieniając jedynie wielkość liter w nazwie użytkownika. Luka jest aktywnie wykorzystywana przez cyberprzestępców.
Mimo że podatność została oficjalnie załatana już kilka lat temu, tysiące urządzeń Fortinet nadal pozostaje narażonych na ataki. Chodzi o lukę CVE-2020-12812 (CVSS: 9,8), która umożliwia obejście uwierzytelniania wieloskładnikowego (MFA) w portalach FortiOS SSL VPN.
Na czym polega problem?
Luka dotyczy wersji:
- FortiOS 6.4.0,
- FortiOS 6.2.0–6.2.3,
- FortiOS 6.0.9 i starszych.
Mechanizm MFA można obejść w wyjątkowo prosty sposób – wystarczy zmienić wielkość liter w nazwie użytkownika, np.: user → User. W efekcie drugi składnik uwierzytelniania (np. FortiToken) nie jest poprawnie weryfikowany, co umożliwia nieautoryzowany dostęp do sieci.
Luka znana i wykorzystywana od lat
Już w 2021 roku podatność została dodana do katalogu Known Exploited Vulnerabilities (KEV) amerykańskiej agencji CISA, po tym jak była wykorzystywana przez grupy ransomware.
W grudniu 2025 r. Fortinet ponownie wydał ostrzeżenie PSIRT, informując, że luka jest aktywnie wykorzystywana w atakach prowadzących do przejęć dostępu do sieci wewnętrznych.
Tysiące podatnych urządzeń w 2026 roku
Skanowanie przeprowadzone przez Shadowserver w styczniu 2026 r. wykazało, że:
- ponad 10 000 urządzeń Fortinet nadal jest podatnych,
- około 1 300 z nich znajduje się w USA.
To pokazuje, jak duża część infrastruktury bezpieczeństwa nadal działa na nieaktualnym i niebezpiecznym oprogramowaniu.
Co zaleca Fortinet?
Producent rekomenduje:
- Aktualizację do bezpiecznych wersji:
- 6.0.10+
- 6.2.4+
- 6.4.1+
- Weryfikację konfiguracji MFA.
- Unikanie hybrydowych konfiguracji łączących lokalne uwierzytelnianie z LDAP.
Wnioski dla administratorów
Ta sytuacja pokazuje, że samo posiadanie mechanizmów bezpieczeństwa nie gwarantuje realnej ochrony, jeśli nie są one poprawnie skonfigurowane i regularnie aktualizowane. Nawet krytyczne podatności o wysokim współczynniku CVSS mogą pozostawać niewykorzystane przez obrońców, a jednocześnie aktywnie wykorzystywane przez atakujących przez wiele lat. Administratorzy powinni traktować aktualizacje systemów VPN i zapór sieciowych jako priorytetowe zadanie operacyjne, a nie jako element odkładany na później. Równie istotna jest regularna weryfikacja konfiguracji MFA, zwłaszcza w środowiskach korzystających z hybrydowych metod uwierzytelniania. Każda ekspozycja usług zdalnego dostępu do Internetu powinna być objęta ciągłym monitoringiem, testami podatności oraz okresowymi audytami bezpieczeństwa, aby uniknąć sytuacji, w której prosta luka konfiguracyjna może prowadzić do poważnego naruszenia bezpieczeństwa infrastruktury firmowej.
Źródła:
O autorze: Łukasz Lein
Product manager - Opiekun marki Symantec
Od blisko 10 lat w firmie Arkanet. Bacznie śledzi ruchy cyberprzestępczości w Polsce i na świecie, dzięki czemu wie, jak pomóc klientom zabezpieczyć swoją sieć firmową przed wszelkimi atakami. Z zamiłowania, po pracy, aktywny "piłkokopacz".
