Lỗ hổng CVE-2020-12812 nghiêm trọng đe dọa 10K Fortinet

Hơn 10.000 thiết bị tường lửa Fortinet trên toàn cầu vẫn tồn tại lỗ hổng CVE-2020-12812, một lỗi bỏ qua xác thực đa yếu tố (MFA) đã được công bố từ hơn năm năm rưỡi trước.

Shadowserver gần đây đã bổ sung vấn đề này vào báo cáo HTTP dễ bị tấn công hàng ngày của họ, nhấn mạnh sự phơi nhiễm dai dẳng ngay cả khi Fortinet đã xác nhận việc khai thác tích cực trong thực tế vào cuối năm 2025. Tình trạng này đặt ra một mối đe dọa đáng kể cho các tổ chức chưa áp dụng các bản vá bảo mật cần thiết.

Phân tích CVE-2020-12812: Lỗ hổng Fortinet SSL VPN

Mô tả kỹ thuật lỗ hổng

CVE-2020-12812 bắt nguồn từ việc xác thực không đúng cách trong các cổng SSL VPN của FortiOS. Lỗ hổng này ảnh hưởng đến các phiên bản 6.4.0, 6.2.0 đến 6.2.3, và 6.0.9 cùng các phiên bản cũ hơn. Kẻ tấn công có thể bỏ qua yếu tố xác thực thứ hai, thường là FortiToken, bằng cách chỉ thay đổi chữ hoa/thường của một tên người dùng hợp lệ, ví dụ: từ “user” thành “User” trong quá trình đăng nhập.

Sự cố này xảy ra do sự không khớp về độ nhạy chữ hoa/thường: FortiGate xử lý tên người dùng cục bộ theo cách phân biệt chữ hoa/thường, trong khi các máy chủ LDAP (như Active Directory) thường bỏ qua sự phân biệt này. Điều này lợi dụng sự thiếu nhất quán trong cách xử lý tên người dùng giữa giao diện SSL VPN của FortiOS và hệ thống backend LDAP. Khi một người dùng nhập tên người dùng với cách viết hoa/thường khác biệt nhưng vẫn khớp với một tài khoản LDAP, hệ thống sẽ xác thực thành công mà không kích hoạt yêu cầu FortiToken MFA.

Điểm CVSS và Phân loại

Lỗ hổng CVE-2020-12812 có điểm cơ sở CVSS v3.1 là 7.5 (Cao). Các yếu tố ảnh hưởng bao gồm khả năng truy cập qua mạng, độ phức tạp thấp, và tiềm năng tác động đến tính bảo mật (confidentiality), tính toàn vẹn (integrity) và tính sẵn sàng (availability) của hệ thống.

Với độ phức tạp tấn công thấp và không yêu cầu quyền hạn cao hay tương tác từ người dùng, CVE-2020-12812 đại diện cho một rủi ro bảo mật đáng kể đối với các tổ chức sử dụng FortiGate SSL VPN. Lỗi này đã được bổ sung vào danh mục Known Exploited Vulnerabilities (KEV) của CISA vào năm 2021, sau khi các nhóm mã độc tống tiền lợi dụng nó để thực hiện tấn công mạng. Thông tin chi tiết về CVE-2020-12812 có thể được tìm thấy tại NVD NIST.

Tình hình Khai thác Thực tế và Phạm vi Lây nhiễm

Cấu hình bị ảnh hưởng

Vào tháng 12 năm 2025, Fortinet đã phát hành một khuyến cáo PSIRT (cập nhật FG-IR-19-283) mô tả “sự lạm dụng gần đây” của lỗ hổng CVE-2020-12812 trong thực tế. Các cấu hình cụ thể bị ảnh hưởng bao gồm người dùng FortiGate cục bộ đã bật MFA, được liên kết với LDAP và thuộc các nhóm LDAP được ánh xạ tới các chính sách xác thực cho SSL VPN, IPsec hoặc quyền truy cập quản trị.

Sự kết hợp này tạo ra một kịch bản lỗ hổng khi hệ thống xác thực bỏ qua kiểm tra MFA cho người dùng LDAP nếu tên người dùng được thay đổi chữ hoa/thường. Các tác nhân đe dọa đã lợi dụng điểm yếu này để vượt qua lớp bảo vệ MFA và giành quyền truy cập trái phép vào các tài nguyên mạng nội bộ. Fortinet đã thúc giục kiểm tra và áp dụng bản vá bảo mật ngay lập tức.

Phạm vi lây nhiễm hiện tại

Các quét của Shadowserver xác nhận sự tồn tại dai dẳng của lỗ hổng CVE-2020-12812, bằng cách quét các dịch vụ HTTP dễ bị tấn công trên các cổng bị phơi nhiễm.

Bảng điều khiển của Shadowserver tiết lộ hơn 10.000 phiên bản dễ bị tấn công tính đến đầu tháng 1 năm 2026. Các khu vực có số lượng tường lửa bị phơi nhiễm cao nhất bao gồm:

• Hoa Kỳ: 1.300 tường lửa
• Thái Lan: 909 tường lửa
• Đài Loan: 728 tường lửa
• Nhật Bản: 462 tường lửa
• Trung Quốc: 462 tường lửa

Hình ảnh bản đồ thế giới của Shadowserver cho thấy các cụm dày đặc ở Bắc Mỹ, Đông Á và Châu Âu, với mức độ phơi nhiễm nhẹ hơn ở Châu Phi và một phần Nam Mỹ.

Các biện pháp giảm thiểu và khắc phục

Cập nhật và Cấu hình bảo mật

Fortinet khuyến nghị nâng cấp lên các phiên bản FortiOS đã được vá lỗi để khắc phục lỗ hổng CVE-2020-12812. Các phiên bản được đề xuất bao gồm 6.0.10+, 6.2.4+ và 6.4.1+. Ngoài ra, cần xác minh các cấu hình để tránh các thiết lập MFA kết hợp cục bộ-LDAP lai. Việc tuân thủ các khuyến nghị này là rất quan trọng để đảm bảo an toàn thông tin và ngăn chặn các cuộc tấn công mạng lợi dụng lỗ hổng này. Các quản trị viên hệ thống cần ưu tiên rà soát và cập nhật hệ thống FortiGate ngay lập tức.

Giám sát và Phát hiện

Để tăng cường bảo mật, các tổ chức nên tắt việc phơi nhiễm SSL VPN không cần thiết, thực thi nguyên tắc quyền hạn tối thiểu (least privilege) và giám sát nhật ký để phát hiện các nỗ lực đăng nhập sử dụng biến thể chữ hoa/thường.

Các tổ chức cũng nên đăng ký báo cáo của Shadowserver để nhận các cảnh báo tùy chỉnh và chạy quét HTTP dễ bị tấn công của riêng mình một cách kịp thời.

Mối đe dọa liên tục này nhấn mạnh rủi ro do các lỗ hổng nghiêm trọng cũ trong tường lửa doanh nghiệp gây ra. Chúng có thể tạo điều kiện cho mã độc tống tiền hoặc di chuyển ngang trong các mạng bị xâm nhập, đòi hỏi sự chú ý liên tục và hành động phòng ngừa chủ động để bảo vệ an ninh mạng.