5年半放置されたFortinetの脆弱性が悪用進行中 1万台以上のFWがパッチ未適用：セキュリティニュースアラート

FortinetはLDAP認証設定の差異に起因し特定条件下で2要素認証が回避される悪用が確認されたと発表した。該当する場合には対策や更新の実施が望まれる。

[後藤大地，ITmedia]

　Fortinetは2025年12月24日（現地時間）、2020年に公開された脆弱（ぜいじゃく）性「FG-IR-19-283」（CVE-2020-12812）が、特定の構成環境において悪用されている状況を確認したと発表した。本件はLDAP連携を利用した認証環境において、利用者名の大文字小文字の扱いに差がある場合、意図しない認証経路が選択される問題とされている。

　国際的なセキュリティ組織The Shadowserver Foundationによると、公開から5年半が経過した現在も、1万台以上のFortinet製ファイアウォールがいまだにパッチを適用されていないという。

認証挙動の差異が生む問題点　LDAP連携構成に潜む条件

　該当事象は、FortiGateが利用者名を区別して扱う挙動と、LDAPディレクトリ側が区別しない挙動の差から生じる。2要素認証を設定したローカル利用者がLDAPグループにも所属している構成において、完全一致しない表記での認証要求が実行された場合、想定外の認証処理に移行する可能性がある。この結果、本来適用されるべき追加認証が機能しない状態が生じる。

　影響を受けるためには複数の前提条件が存在する。「FortiGate」に2要素認証を設定したローカル利用者が登録され、同一利用者がLDAPサーバ側のグループに所属している必要がある。そのLDAPグループがVPNや管理者認証などの認証ポリシーに利用されている構成になっていることが条件となる。これらが重なった場合に問題が顕在化する。

　実際の挙動として、完全一致する利用者名で接続すると2要素認証が要求されるが、表記が異なる場合はローカル利用者と一致せず、別の認証ポリシーが参照される。結果としてLDAPサーバでの資格情報検証のみで認証が成立する可能性がある。この状態において、無効化された利用者や追加認証設定が反映されない恐れがある。

　Fortinetは同問題への対策として過去の「FortiOS」更新で挙動制御の機能を導入している。該当バージョン以降において、利用者名の扱いを統一する設定が可能であり、表記差による認証経路の分岐を防止できる。対象環境では該当設定の有効化が推奨されている。

　不要なLDAPグループ設定の見直しも重要だ。ローカル認証が失敗した際に参照される二次的な認証経路が存在すること自体が、問題を成立させる要因となる。LDAPグループを使用しない構成では認証が成立しないため、構成の簡素化が有効な対策となる。影響が疑われる場合は、認証情報の更新と支援窓口への連絡が求められる。