文章总结： 全球超万台Fortinet防火墙仍受MFA绕过漏洞CVE-2020-12812威胁。该漏洞源于本地与LDAP用户名大小写校验差异，允许攻击者绕过第二认证因素。Fortinet已确认其在野利用。建议立即升级至修复版本，检查配置避免混合认证，关闭非必要SSLVPN并监控日志。 综合评分： 85 文章分类： 漏洞预警,漏洞分析,威胁情报

全球超万台Fortinet防火墙仍受5年前MFA绕过漏洞威胁

e安在线

e安在线

2026年1月5日 10:01 北京

Part01

漏洞概况

据调查，全球仍有超过1万台Fortinet防火墙设备存在CVE-2020-12812漏洞风险，而这个多因素认证（MFA）绕过漏洞早在五年前就已披露。Shadowserver基金会近期将该漏洞纳入其每日脆弱HTTP服务报告，Fortinet在2025年底确认该漏洞正被活跃利用。

Part02

技术细节

该漏洞源于FortiOS SSL VPN门户的身份验证缺陷，影响6.4.0、6.2.0至6.2.3以及6.0.9及更早版本。攻击者仅需修改合法用户名的字母大小写（如将”user”改为”User”）即可绕过第二认证因素（通常是FortiToken）。这是由于FortiGate本地用户名区分大小写，而LDAP服务器（如Active Directory）通常忽略大小写，导致攻击者可通过LDAP组成员身份完成认证而无需MFA验证。

该漏洞CVSS v3.1基础评分为7.5（高危），具有网络可访问性、低复杂度攻击条件，可能影响数据机密性、完整性和可用性。2021年勒索软件组织利用该漏洞后，它被列入CISA已知被利用漏洞目录。

Part03

利用情况

2025年12月，Fortinet发布PSIRT公告（FG-IR-19-283更新），详细说明该漏洞在野利用情况：当本地FortiGate用户启用MFA并关联LDAP，且属于映射到SSL VPN、IPsec或管理员访问认证策略的LDAP组时，威胁分子可利用该漏洞获取未授权内网访问权限。

Part04

全球影响

Shadowserver扫描数据显示，截至2026年1月初仍有超1万台设备存在风险。受影响最严重的国家包括：

• 美国：1300台
• 泰国：909台
• 中国台湾地区：728台
• 日本：462台
• 中国大陆：462台

地理分布图显示北美、东亚和欧洲为密集暴露区域，非洲和南美部分地区受影响较轻。

Part05

缓解措施

Fortinet建议升级至已修复版本（6.0.10+、6.2.4+、6.4.1+），检查配置避免混合本地-LDAP MFA设置。应关闭非必要SSL VPN暴露面，实施最小权限原则，监控日志中的大小写变体登录尝试。企业应订阅Shadowserver报告获取定制化警报，并及时运行脆弱HTTP扫描。

该持续威胁凸显了企业防火墙中遗留漏洞的风险，可能为勒索软件攻击或横向移动提供便利。

声明：除发布的文章无法追溯到作者并获得授权外，我们均会注明作者和文章来源。如涉及版权问题请及时联系我们，我们会在第一时间删改，谢谢！文章来源 ：

参考来源：

10,000+ Fortinet Firewalls Still Exposed to 5-year Old MFA Bypass Vulnerability

10,000+ Fortinet Firewalls Still Exposed to 5-year Old MFA Bypass Vulnerability

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：e安在线 e安在线《全球超万台Fortinet防火墙仍受5年前MFA绕过漏洞威胁》