FortiOS SSL VPN’de 2FA Atlama Açığı: Teknik Detaylar ve Korunma Yöntemleri

Fortinet’in FortiOS SSL VPN ürününde beş yıldır var olan ve CVE-2020-12812 olarak tanımlanan kimlik doğrulama açığı, son dönemde aktif şekilde kötüye kullanılmaya başladı. Bu zafiyet, kullanıcı adlarının büyük/küçük harf duyarlılığı farklılıkları nedeniyle iki faktörlü kimlik doğrulama (2FA) mekanizmasının atlanmasına imkan tanıyor. Özellikle yerel kullanıcıların 2FA etkinleştirilmiş olduğu ve LDAP gibi uzak kimlik doğrulama yöntemlerinin kullanıldığı ortamlarda risk artıyor.

Saldırının Genel Çerçevesi

Açığın temelinde FortiGate cihazlarının kullanıcı adlarını büyük/küçük harfe duyarlı olarak işlemesi, LDAP dizinlerinin ise bu konuda duyarsız olması yatıyor. Örneğin, “jsmith” kullanıcı adı LDAP tarafında “JSmith” veya “jsmiTh” gibi farklı varyasyonlarla eşleşirken, FortiGate bu farklılıkları yerel kullanıcıyla eşleştirmiyor. Bu durumda FortiGate, 2FA gerektiren yerel kullanıcı doğrulamasını atlayarak LDAP üzerinden doğrudan kimlik doğrulamasına izin veriyor. Böylece saldırganlar, 2FA korumasını devre dışı bırakıp yönetici veya VPN kullanıcı hesaplarına erişim sağlayabiliyor.

Hangi Sistemler Risk Altında?

Bu zafiyet, FortiOS 6.0.10, 6.2.4 ve 6.4.1 öncesi sürümlerini kullanan ve aşağıdaki yapılandırmaları içeren sistemlerde ortaya çıkıyor:

• FortiGate üzerinde 2FA ile yerel kullanıcı hesaplarının tanımlanması ve LDAP referanslarının bulunması,
• Aynı kullanıcıların LDAP sunucusunda en az bir grubun üyesi olması,
• LDAP gruplarının FortiGate üzerinde yönetici, SSL veya IPSEC VPN kimlik doğrulama politikalarında kullanılması.

Bu önkoşullar sağlandığında, 2FA yapılandırılmış LDAP kullanıcıları doğrudan LDAP üzerinden kimlik doğrulaması yapabiliyor ve FortiGate’in 2FA kontrolü atlanıyor.

Saldırı Zinciri ve Teknik Detaylar

• Kullanılan araçlar ve yöntemler: LDAP kimlik doğrulama mekanizmasındaki büyük/küçük harf duyarlılığı farkından faydalanma.
• Hedeflenen kullanıcılar: Yönetici ve VPN kullanıcıları, özellikle kurumsal ağlarda kritik erişim haklarına sahip hesaplar.
• CVE kodu: CVE-2020-12812
• Saldırı adımları: Kullanıcı adı varyasyonları ile FortiGate’in yerel kullanıcı eşleştirmesini atlama, ardından LDAP üzerinden kimlik doğrulaması yaparak 2FA’yı devre dışı bırakma.
• Temel savunma: FortiOS güncellemeleri, kullanıcı adı büyük/küçük harf duyarlılığını devre dışı bırakma komutları ve ikincil LDAP gruplarının kaldırılması.

Sistem Yöneticileri ve SOC Ekipleri İçin Öneriler

• FortiOS sürümünüzü en az 6.0.10, 6.2.4 veya 6.4.1 ve üzeri sürümlere güncelleyin.
• Yerel hesaplar için set username-case-sensitivity disable komutunu uygulayın.
• FortiOS 6.0.13, 6.2.10, 6.4.7, 7.0.1 veya daha yeni sürümlerde set username-sensitivity disable komutunu kullanarak büyük/küçük harf duyarlılığını kapatın.
• LDAP üzerinde ikincil gruplar gereksizse kaldırarak saldırı yüzeyini azaltın.
• 2FA yapılandırmalarını gözden geçirerek, kritik kullanıcıların kimlik doğrulama politikalarının doğru şekilde uygulandığından emin olun.
• SIEM ve EDR çözümlerinizde FortiGate kimlik doğrulama loglarını yakından izleyin ve anormal giriş denemelerini tespit edin.
• Ağ segmentasyonu ve Zero Trust prensipleri ile VPN ve yönetici erişimlerini sınırlandırın.
• Olay müdahale planlarınızı güncelleyerek, bu tür kimlik doğrulama atlama saldırılarına karşı hızlı aksiyon alın.

Kurumsal Ortamlarda Olası Senaryo

Örneğin, finans sektöründe faaliyet gösteren bir kurumda FortiGate SSL VPN üzerinden çalışan yöneticiler, LDAP ile entegre 2FA kullanıyor olabilir. Eğer LDAP grupları ve yerel kullanıcılar yukarıda belirtilen şekilde yapılandırılmışsa, saldırganlar kullanıcı adı varyasyonlarıyla 2FA’yı atlayarak kritik sistemlere erişim sağlayabilir. Bu durum, finansal verilerin ve müşteri bilgilerinin açığa çıkmasına yol açabilir. Bu yüzden kurumların FortiOS yamalarını uygulaması ve kimlik doğrulama politikalarını sıkılaştırması hayati önem taşıyor.