Fortinet FortiOSにおける5年前の脆弱性、最近の攻撃で悪用される：CVE-2020-12812

佐々山 Tacos

2025.12.26

Fortinet FortiOSにおける5年前の脆弱性、最近の攻撃で悪用される：CVE-2020-12812

Security Affairs – December 25, 2025

Fortinetは12月24日、FortiOS SSL VPNの脆弱性CVE-2020-12812に関する「最近の悪用」について注意喚起。5年前に開示されたこの脆弱性は、特定の構成設定のもとで実際に悪用されているという。攻撃の詳細については明かされていない。

CVE-2020-12812はFortiOSのSSL VPNにおける不適切な認証の問題で、ユーザーが自らのユーザー名の大文字・小文字を変更した場合、認証の第2要素（FortiToken）を求められることなくログインできるようになるというもの。

これは、ユーザーローカル設定で2要素認証が有効化されており、ユーザー認証タイプがLDAPなどのリモート認証方式に設定されている場合に生じる。FortiGateがユーザー名の大文字・小文字をデフォルトで区別するようになっている一方で、LDAPディレクトリが区別を行わないことによって生じるこの問題により、2要素認証なしでの管理者アクセスやVPNアクセスが可能になる恐れがあるとされ、また場合によっては、システムが侵害されて認証情報のリセットが要求される事態にも繋がり得るとされる。

この脆弱性は、組織において以下の条件が揃っている場合にトリガーされるという。

FortiGate上に2FA設定済みのローカルユーザーが存在し、LDAPを参照していること
これらのユーザーがLDAPサーバー上のグループのメンバーであること
2要素認証ユーザーが所属するLDAPグループが少なくとも1つFortiGate上に設定されており、そのグループが認証ポリシー内で使用されていること（例：管理者ユーザー、SSL、IPSEC VPNなど）

この悪用は過去にも報告されており、2021年4月には、米FBIとCISAが合同アラートを発出し、CVE-2020-12812を含む複数のエクスプロイトを使ってFortinet FotiOSサーバーを攻撃する複数のAPTグループについて警告。また2021年3月にはイラン関連のAPTグループにより悪用されていたほか、2022年5月にもイラン関連のAPTグループ「COBALT MIRAGE」による悪用が報告された。加えて、HiveランサムウェアやPlayランサムウェアが同脆弱性を悪用していたことも知られている。

CVE-2020-12812は、2020年7月リリースのFortiOS 6.0.10、6.2.4、6.4.1で修正されているとのこと。