文章总结： 全球逾万台Fortinet防火墙仍受CVE-2020-12812漏洞影响，攻击者可通过修改用户名大小写绕过MFA认证。该漏洞影响特定FortiOS版本，且正遭勒索软件利用。建议立即升级至修复版本，禁用非必要SSLVPN，并监控日志异常，以防范内部网络入侵风险。 综合评分： 88 文章分类： 漏洞预警,威胁情报,网络安全,安全运营

超 10000 台 Fortinet 防火墙仍暴露于存在 5 年之久的 MFA 漏洞

HackerNews

安全威胁纵横

2026年1月4日 14:48 湖北

高危漏洞

紧急修复指南

RCE Patch

全球仍有超过10,000台Fortinet防火墙存在CVE-2020-12812漏洞，这是一个在五年半前披露的多因素身份认证绕过漏洞。

推测e

1

漏洞详情

Shadowserver近期将该问题纳入其每日“易受攻击HTTP服务报告”，表明该漏洞仍遭活跃利用，相关设备的暴露风险持续存在。

CVE-2020-12812源于FortiOS SSL VPN门户中的身份验证不当问题，影响版本6.4.0、6.2.0至6.2.3以及6.0.9及更早版本。

攻击者只需在登录时更改合法用户名的大小写（例如将”user”改为”User”），即可绕过第二重身份验证因子（通常是FortiToken）。

这一漏洞的成因是大小写敏感性不匹配：FortiGate将本地用户名视为大小写敏感，而轻型目录访问协议服务器通常忽略大小写，使得攻击者可通过群组成员身份完成认证，无需触发多因素认证。

该漏洞的CVSS v3.1基础评分为7.5（高危），具备网络可访问性、低攻击复杂度特点，可能对数据机密性、完整性和系统可用性造成影响。2021年，勒索软件攻击者利用该漏洞实施攻击后，其被纳入美国网络安全与基础设施安全局的已知被利用漏洞目录。

02

近期攻击活动

2025年12月，Fortinet发布了一份PSIRT安全公告（FG-IR-19-283更新），详细说明了该漏洞在野外的“近期滥用”情况，这与特定配置相关：启用了MFA的本地FortiGate用户，关联到LDAP，并且属于映射到SSL VPN、IPsec或管理员访问身份验证策略的LDAP组。威胁行为者利用此漏洞获得未经授权的内部网络访问权限，促使Fortinet敦促立即进行检查和修补。

Shadowserver的扫描证实了该漏洞的持续性，其针对暴露端口上的易受攻击HTTP服务进行扫描。Shadowserver的仪表盘显示，截至2026 年1月初，存在该漏洞的设备数量超10,000台。世界地图可视化数据显示，漏洞暴露密集区域集中在北美、东亚和欧洲，非洲及南美洲部分地区的暴露程度相对较低。

| | | — | | |

| | | | — | — | | 主要国家 | 设备数量 | | 美国 | 1300台 | | 中国 | 大陆462台、台湾728台 | | 泰国 | 909台 | | 日本 | 462台 |

Fortinet建议用户升级至修复后的FortiOS版本（6.0.10及以上、6.2.4 及以上、6.4.1及以上），并验证配置以避免本地 – LDAP 混合多因素认证部署模式。

同时，应禁用非必要的SSL VPN暴露面，执行最小权限原则，并监控日志中是否存在大小写变体登录尝试。企业应订阅影子服务器基金会的报告以获取定制化警报，并及时运行其易受攻击HTTP扫描。

这种持续存在的威胁凸显了企业防火墙中遗留漏洞带来的风险，这些漏洞可能为勒索软件攻击提供便利，或在被入侵的网络内实现横向移动。

转载请注明出处@安全威胁纵横，封面来源于网络；

消息来源：https://cybersecuritynews.com/fortinet-firewalls-exposed/

更多网络安全视频，请关注视频号“知道创宇404实验室”

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全威胁纵横 HackerNews《超 10000 台 Fortinet 防火墙仍暴露于存在 5 年之久的 MFA 漏洞》