Source: Fortinet (PSIRT Blog). Fortinet indique avoir observé dans la nature l’abus de la vulnérabilité FG‑IR‑19‑283 / CVE‑2020‑12812 publiée en juillet 2020, liée à un contournement du 2FA sur FortiGate dans des configurations précises.

Le problème survient lorsque FortiGate traite les noms d’utilisateurs comme sensibles à la casse par défaut, alors que le répertoire LDAP ne l’est pas. Dans un contexte où des comptes locaux FortiGate avec 2FA sont mappés à LDAP, que ces mêmes utilisateurs appartiennent à des groupes LDAP, et qu’au moins un de ces groupes est configuré dans une politique d’authentification FortiGate, une connexion avec une variante de casse du nom (ex: « JSmith » au lieu de « jsmith ») ne correspond pas au compte local et déclenche une tentative d’authentification via les autres politiques.

Dans cet enchaînement, FortiGate bascule vers une politique utilisant un groupe LDAP secondaire (ex.: « Auth-Group ») et, si les identifiants sont corrects, accorde l’accès indépendamment des paramètres du compte local (dont le 2FA ou un statut désactivé). ⚠️ Résultat possible: des utilisateurs administratifs ou VPN authentifiés sans 2FA. Fortinet précise que si ce scénario s’est produit, la configuration doit être considérée compromise et tous les identifiants, y compris ceux du compte de liaison LDAP/AD, doivent être réinitialisés.

Mitigations: une configuration a été introduite dans FortiOS 6.0.10, 6.2.4, 6.4.1 pour prévenir ce comportement. Pour les systèmes non encore corrigés, il est recommandé de définir sur chaque compte local: set username-case-sensitivity disable. Sur les versions ultérieures (v6.0.13, v6.2.10, v6.4.7, v7.0.1 et +): set username-sensitivity disable. Cela uniformise la casse (jsmith = JSMITH) et empêche le basculement vers une politique LDAP mal configurée. Mesure additionnelle: supprimer tout groupe LDAP secondaire non nécessaire; sans groupes LDAP configurés, aucune authentification par groupe LDAP n’est possible en cas de non-correspondance du nom d’utilisateur local.

TTPs observés:

  • Contournement d’authentification par exploitation d’un décalage de sensibilité à la casse entre FortiGate et LDAP.
  • Basculement vers une politique d’authentification basée sur un groupe LDAP secondaire quand la correspondance locale échoue.
  • Utilisation de variantes de casse du nom d’utilisateur pour éviter la correspondance au compte local 2FA.

Type d’article: avis PSIRT et analyse de vulnérabilité visant à décrire l’abus observé, les conditions de déclenchement et les mitigations.

🧠 TTPs et IOCs détectés

TTP

Contournement d’authentification par exploitation d’un décalage de sensibilité à la casse entre FortiGate et LDAP; Basculement vers une politique d’authentification basée sur un groupe LDAP secondaire quand la correspondance locale échoue; Utilisation de variantes de casse du nom d’utilisateur pour éviter la correspondance au compte local 2FA.

IOC

Aucun IOC spécifique (hash, domaine, IP) n’est mentionné dans l’analyse.

🔗 Source originale : https://www.fortinet.com/blog/psirt-blogs/product-security-advisory-and-analysis-observed-abuse-of-fg-ir-19-283