Cảnh báo khẩn: Lỗ hổng Fortinet bị khai thác, bỏ qua 2FA

Tin tức bảo mật mới nhất cho thấy các đối tượng tấn công mạng đang tích cực khai thác một lỗ hổng Fortinet đã được vá từ tháng 7 năm 2020. Cuộc tấn công này vượt qua cơ chế xác thực hai yếu tố (2FA) trên các thiết bị tường lửa, từ đó có thể cấp quyền truy cập trái phép vào các dịch vụ VPN và bảng điều khiển quản trị.

Nhóm PSIRT của Fortinet đã công bố chi tiết về các cuộc tấn công này trên blog của họ, đồng thời kêu gọi các quản trị viên hệ thống kiểm tra ngay lập tức các cấu hình để ngăn chặn sự xâm nhập.

Phân tích lỗ hổng Fortinet CVE-2020-12812

Bản chất lỗ hổng và cơ chế khai thác

Lỗ hổng này được định danh là FG-IR-19-283 (CVE-2020-12812) và xuất phát từ sự không khớp trong cách các thiết bị FortiGate xử lý tên người dùng so với các thư mục LDAP. Theo mặc định, FortiGate coi tên người dùng là phân biệt chữ hoa/chữ thường, trong khi hầu hết các máy chủ LDAP, như Active Directory, lại bỏ qua yếu tố này.

Kẻ tấn công lợi dụng điểm yếu này trong các thiết lập cấu hình sai. Cụ thể là khi người dùng cục bộ của FortiGate đã bật 2FA và đồng thời là thành viên của các nhóm LDAP được ánh xạ tới các chính sách xác thực.

Quá trình tấn công diễn ra đơn giản. Giả sử người dùng cục bộ “jsmith” đã bật 2FA và được liên kết với một nhóm LDAP như “Domain Users”. Việc đăng nhập với tên người dùng “jsmith” chính xác sẽ kích hoạt yêu cầu mã token 2FA.

Tuy nhiên, tin tặc sẽ nhập “Jsmith”, “jSmith” hoặc bất kỳ biến thể chữ hoa/chữ thường nào khác. FortiGate không tìm thấy sự trùng khớp với người dùng cục bộ và sau đó sẽ chuyển sang các chính sách xác thực phụ liên kết với các nhóm LDAP như “Helpdesk” hoặc “Auth-Group”. Chỉ cần cung cấp thông tin xác thực LDAP hợp lệ là đủ để bỏ qua 2FA hoàn toàn.

Các điều kiện tiên quyết để khai thác

Fortinet đã xác nhận các điều kiện sau đây là cần thiết để lỗ hổng này có thể bị khai thác:

• Người dùng đã cấu hình xác thực cục bộ trên FortiGate.
• Đã bật xác thực hai yếu tố (2FA) cho người dùng cục bộ đó.
• Người dùng cục bộ đó được liên kết với một nhóm người dùng LDAP.
• FortiGate đã cấu hình một chính sách xác thực thứ cấp dựa trên LDAP, cho phép truy cập VPN hoặc quản trị viên mà không yêu cầu 2FA.

Điều này cấp cho kẻ tấn công quyền truy cập VPN hoặc các đặc quyền nâng cao mà không cần mã token 2FA. Fortinet cảnh báo rằng bất kỳ trường hợp vượt qua 2FA thành công nào đều là dấu hiệu của việc hệ thống đã bị xâm nhập.

Hậu quả và các biện pháp ứng phó

Tác động của cuộc tấn công

Khi kẻ tấn công vượt qua được 2FA, họ có thể truy cập trái phép vào mạng VPN hoặc bảng điều khiển quản trị của FortiGate. Điều này có thể dẫn đến việc kiểm soát hoàn toàn hệ thống, đánh cắp dữ liệu nhạy cảm hoặc cài đặt mã độc.

Sự xâm nhập này tiềm ẩn nguy cơ cao đối với an toàn thông tin của tổ chức, mở đường cho các cuộc tấn công ransomware hoặc di chuyển ngang trong mạng.

Các bước khắc phục và phòng ngừa lỗ hổng Fortinet

Các quản trị viên cần thực hiện ngay lập tức các hành động sau để giảm thiểu rủi ro từ lỗ hổng Fortinet này:

• Cập nhật phần mềm: Đảm bảo rằng tất cả các thiết bị FortiGate đang chạy các phiên bản FortiOS đã vá lỗi: FortiOS 6.0.10 trở lên, 6.2.4 trở lên, và 6.4.1 trở lên. Mặc dù lỗ hổng đã có bản vá từ năm 2020, nhưng nhiều thiết bị vẫn chưa được cập nhật hoặc cấu hình sai, trở thành mục tiêu cho tin tặc.
• Kiểm tra nhật ký hệ thống: Rà soát kỹ lưỡng các nhật ký hệ thống để tìm kiếm các dấu hiệu bất thường, đặc biệt là các lần đăng nhập không thành công với tài khoản cục bộ được theo sau bởi các lần đăng nhập LDAP thành công.
• Đặt lại thông tin xác thực: Nếu phát hiện dấu hiệu bị xâm nhập, hãy đặt lại tất cả thông tin xác thực, bao gồm cả tài khoản liên kết LDAP/AD.
• Kiểm tra cấu hình LDAP/2FA: Đánh giá lại cấu hình xác thực LDAP và 2FA trên FortiGate. Đảm bảo rằng không có lỗ hổng nào cho phép bỏ qua 2FA thông qua sự không khớp chữ hoa/chữ thường.
• Thiết lập chính sách ưu tiên thấp nhất: Thực thi chính sách đặc quyền thấp nhất (least-privilege) cho tất cả người dùng và dịch vụ.
• Kiểm tra thường xuyên: Thực hiện kiểm toán cấu hình định kỳ để phát hiện và khắc phục các sai lệch cấu hình có thể dẫn đến các lỗ hổng bảo mật.

Fortinet đặc biệt nhấn mạnh rằng việc không sử dụng các nhóm LDAP sẽ loại bỏ rủi ro bỏ qua 2FA cho những người dùng chỉ xác thực cục bộ. Sự cố này một lần nữa khẳng định rằng các lỗ hổng cũ vẫn có thể bị khai thác do các sai lệch trong cấu hình hệ thống.

Để bảo vệ các mạng lưới quan trọng được bảo vệ bởi tường lửa FortiGate, các doanh nghiệp phải duy trì các chính sách ưu tiên thấp nhất và thường xuyên kiểm tra an ninh. Bất kỳ sự chậm trễ nào cũng có thể tạo điều kiện cho các cuộc tấn công nghiêm trọng, bao gồm cả ransomware hoặc di chuyển ngang trong mạng. Hãy hành động ngay lập tức trước khi kẻ tấn công có thể phá vỡ hệ thống phòng thủ của bạn. Tham khảo thông tin chi tiết từ Fortinet tại đây.