文章总结： 全球超万台Fortinet防火墙仍受CVE-2020-12812MFA绕过漏洞威胁，攻击者通过修改用户名大小写即可绕过双因素认证。该高危漏洞影响6.4.0等旧版本，已被勒索软件组织利用。Fortinet建议升级至修复版本，检查混合认证配置，关闭非必要SSLVPN服务并监控异常登录。 综合评分： 84 文章分类： 漏洞分析,威胁情报,网络安全,漏洞预警,应用安全

全球超万台Fortinet防火墙仍受5年前MFA绕过漏洞威胁

FreeBuf

2026年1月3日 18:30 上海

在小说阅读器读本章

去阅读

Part01

漏洞概况

据调查，全球仍有超过1万台Fortinet防火墙设备存在CVE-2020-12812漏洞风险，而这个多因素认证（MFA）绕过漏洞早在五年前就已披露。Shadowserver基金会近期将该漏洞纳入其每日脆弱HTTP服务报告，Fortinet在2025年底确认该漏洞正被活跃利用。

Part02

技术细节

该漏洞源于FortiOS SSL VPN门户的身份验证缺陷，影响6.4.0、6.2.0至6.2.3以及6.0.9及更早版本。攻击者仅需修改合法用户名的字母大小写（如将”user”改为”User”）即可绕过第二认证因素（通常是FortiToken）。这是由于FortiGate本地用户名区分大小写，而LDAP服务器（如Active Directory）通常忽略大小写，导致攻击者可通过LDAP组成员身份完成认证而无需MFA验证。

该漏洞CVSS v3.1基础评分为7.5（高危），具有网络可访问性、低复杂度攻击条件，可能影响数据机密性、完整性和可用性。2021年勒索软件组织利用该漏洞后，它被列入CISA已知被利用漏洞目录。

Part03

利用情况

2025年12月，Fortinet发布PSIRT公告（FG-IR-19-283更新），详细说明该漏洞在野利用情况：当本地FortiGate用户启用MFA并关联LDAP，且属于映射到SSL VPN、IPsec或管理员访问认证策略的LDAP组时，威胁分子可利用该漏洞获取未授权内网访问权限。

Part04

全球影响

Shadowserver扫描数据显示，截至2026年1月初仍有超1万台设备存在风险。受影响最严重的国家包括：

• 美国：1300台
• 泰国：909台
• 中国台湾地区：728台
• 日本：462台
• 中国大陆：462台

地理分布图显示北美、东亚和欧洲为密集暴露区域，非洲和南美部分地区受影响较轻。

Part05

缓解措施

Fortinet建议升级至已修复版本（6.0.10+、6.2.4+、6.4.1+），检查配置避免混合本地-LDAP MFA设置。应关闭非必要SSL VPN暴露面，实施最小权限原则，监控日志中的大小写变体登录尝试。企业应订阅Shadowserver报告获取定制化警报，并及时运行脆弱HTTP扫描。

该持续威胁凸显了企业防火墙中遗留漏洞的风险，可能为勒索软件攻击或横向移动提供便利。

参考来源：

10,000+ Fortinet Firewalls Still Exposed to 5-year Old MFA Bypass Vulnerability

10,000+ Fortinet Firewalls Still Exposed to 5-year Old MFA Bypass Vulnerability

#

#

#

推荐阅读

#

电台讨论

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：FreeBuf 《全球超万台Fortinet防火墙仍受5年前MFA绕过漏洞威胁》