Fortinet ព្រមានអំពីការវាយប្រហារយ៉ាងសកម្មលើចំណុចខ្សោយ FortiOS SSL VPN 2FA Bypass vulnerability

កាលពីថ្ងៃពុធ Fortinet បាននិយាយថា ខ្លួនបានសង្កេតឃើញ "ការរំលោភបំពានថ្មីៗ" នៃចំណុចខ្សោយសុវត្ថិភាពអាយុប្រាំឆ្នាំនៅក្នុង FortiOS SSL VPN នៅក្នុងការកំណត់រចនាសម្ព័ន្ធជាក់លាក់។

ចំណុចខ្សោយដែលកំពុងត្រូវបានពិភាក្សាគឺ CVE-2020-12812 (ពិន្ទុ CVSS: 5.2) ដែលជាចំណុចខ្សោយនៃការផ្ទៀងផ្ទាត់មិនត្រឹមត្រូវនៅក្នុង SSL VPN នៅក្នុង FortiOS ដែលអាចអនុញ្ញាតឱ្យអ្នកប្រើប្រាស់ចូលដោយជោគជ័យដោយមិនត្រូវបានជំរុញឱ្យមានការផ្ទៀងផ្ទាត់កត្តាទីពីរ ប្រសិនបើអក្សរធំនៃឈ្មោះអ្នកប្រើប្រាស់ត្រូវបានផ្លាស់ប្តូរ។

Fortinet បានកត់សម្គាល់នៅក្នុងខែកក្កដា ឆ្នាំ 2020 ថា "រឿងនេះកើតឡើងនៅពេលដែលការផ្ទៀងផ្ទាត់ពីរកត្តាត្រូវបានបើកនៅក្នុងការកំណត់ 'អ្នកប្រើប្រាស់ក្នុងស្រុក' ហើយប្រភេទនៃការផ្ទៀងផ្ទាត់អ្នកប្រើប្រាស់នោះត្រូវបានកំណត់ទៅជាវិធីសាស្ត្រផ្ទៀងផ្ទាត់ពីចម្ងាយ (ឧទាហរណ៍ LDAP)"។ "បញ្ហានេះកើតឡើងដោយសារតែការផ្គូផ្គងអក្សរធំមិនស៊ីសង្វាក់គ្នារវាងការផ្ទៀងផ្ទាត់ក្នុងស្រុក និងពីចម្ងាយ"។

ចាប់តាំងពីពេលនោះមក ភាពងាយរងគ្រោះនេះបានក្លាយជាការកេងប្រវ័ញ្ចយ៉ាងសកម្មនៅក្នុងធម្មជាតិដោយអ្នកគំរាមកំហែងជាច្រើន ដោយរដ្ឋាភិបាលសហរដ្ឋអាមេរិកក៏បានចុះបញ្ជីវាថាជាចំណុចខ្សោយមួយក្នុងចំណោមចំណុចខ្សោយជាច្រើនដែលត្រូវបានប្រើប្រាស់ក្នុងការវាយប្រហារដែលកំណត់គោលដៅឧបករណ៍ប្រភេទបរិវេណក្នុងឆ្នាំ 2021។

នៅក្នុងការណែនាំថ្មីមួយដែលចេញផ្សាយនៅថ្ងៃទី 24 ខែធ្នូ ឆ្នាំ 2025 Fortinet បានកត់សម្គាល់ថា ការបង្កើត CVE-2020-12812 ដោយជោគជ័យតម្រូវឱ្យមានការកំណត់រចនាសម្ព័ន្ធដូចខាងក្រោម -

ធាតុអ្នកប្រើប្រាស់ក្នុងស្រុកនៅលើ FortiGate ជាមួយ 2FA ដោយយោងទៅលើ LDAP

អ្នកប្រើប្រាស់ដូចគ្នាត្រូវតែជាសមាជិកនៃក្រុមនៅលើម៉ាស៊ីនមេ LDAP

យ៉ាងហោចណាស់ក្រុម LDAP មួយ អ្នកប្រើប្រាស់កត្តាពីរគឺជាសមាជិកនៃតម្រូវការដើម្បីកំណត់រចនាសម្ព័ន្ធនៅលើ FortiGate ហើយក្រុមនេះត្រូវប្រើក្នុងគោលការណ៍ផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវដែលអាចរួមបញ្ចូលឧទាហរណ៍អ្នកប្រើប្រាស់រដ្ឋបាល SSL ឬ IPSEC VPN

ប្រសិនបើតម្រូវការជាមុនទាំងនេះត្រូវបានបំពេញ ភាពងាយរងគ្រោះនេះបណ្តាលឱ្យអ្នកប្រើប្រាស់ LDAP ដែលមាន 2FA កំណត់រចនាសម្ព័ន្ធរំលងស្រទាប់សុវត្ថិភាព ហើយជំនួសមកវិញនូវការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវប្រឆាំងនឹង LDAP ដោយផ្ទាល់ ដែលជាលទ្ធផលនៃការដែល FortiGate ចាត់ទុកឈ្មោះអ្នកប្រើប្រាស់ថាប្រកាន់អក្សរតូចធំ ខណៈពេលដែលថត LDAP មិនធ្វើ។

"ប្រសិនបើអ្នកប្រើប្រាស់ចូលដោយប្រើ 'Jsmith' ឬ 'jSmith' ឬ 'JSmith' ឬ 'jsmith' ឬអ្វីដែលមិនមែនជាករណីដូចគ្នាបេះបិទទៅនឹង 'jsmith' នោះ FortiGate នឹងមិនផ្គូផ្គងការចូលប្រឆាំងនឹងអ្នកប្រើប្រាស់ក្នុងស្រុកទេ" Fortinet បានពន្យល់។ "ការកំណត់រចនាសម្ព័ន្ធនេះបណ្តាលឱ្យ FortiGate ពិចារណាជម្រើសផ្ទៀងផ្ទាត់ផ្សេងទៀត។ FortiGate នឹងពិនិត្យមើលតាមរយៈគោលការណ៍ផ្ទៀងផ្ទាត់ជញ្ជាំងភ្លើងដែលបានកំណត់រចនាសម្ព័ន្ធផ្សេងទៀត។"

"បន្ទាប់ពីបរាជ័យក្នុងការផ្គូផ្គង jsmith FortiGate រកឃើញក្រុមដែលបានកំណត់រចនាសម្ព័ន្ធបន្ទាប់បន្សំ 'Auth-Group' ហើយពីវាម៉ាស៊ីនមេ LDAP ហើយដោយផ្តល់ថាព័ត៌មានសម្គាល់ត្រឹមត្រូវ ការផ្ទៀងផ្ទាត់នឹងទទួលបានជោគជ័យដោយមិនគិតពីការកំណត់ណាមួយនៅក្នុងគោលការណ៍អ្នកប្រើប្រាស់ក្នុងស្រុក (2FA និងគណនីដែលបានបិទ)"។

"ដោយកំណត់ភាពរសើបឈ្មោះអ្នកប្រើប្រាស់ទៅបិទ FortiGate នឹងចាត់ទុក jsmith, JSmith, JSMITH និងបន្សំដែលអាចធ្វើទៅបានទាំងអស់ថាដូចគ្នាបេះបិទ ហើយដូច្នេះការពារការបរាជ័យចំពោះការកំណត់ក្រុម LDAP ដែលត្រូវបានកំណត់រចនាសម្ព័ន្ធមិនត្រឹមត្រូវផ្សេងទៀត" ក្រុមហ៊ុនបាននិយាយ។

ជាការបន្ធូរបន្ថយបន្ថែម វាមានតម្លៃពិចារណាដកក្រុម LDAP បន្ទាប់បន្សំចេញ ប្រសិនបើវាមិនចាំបាច់ ព្រោះវាលុបបំបាត់ការវាយប្រហារទាំងមូល ព្រោះការផ្ទៀងផ្ទាត់តាមរយៈក្រុម LDAP នឹងមិនអាចធ្វើទៅរួចទេ ហើយអ្នកប្រើប្រាស់នឹងបរាជ័យក្នុងការផ្ទៀងផ្ទាត់ ប្រសិនបើឈ្មោះអ្នកប្រើប្រាស់មិនត្រូវគ្នានឹងធាតុចូលក្នុងស្រុក។

ទោះជាយ៉ាងណាក៏ដោយ ការណែនាំដែលទើបចេញថ្មីមិនបានផ្តល់ព័ត៌មានជាក់លាក់ណាមួយអំពីលក្ខណៈនៃការវាយប្រហារដែលកេងប្រវ័ញ្ចកំហុសនោះទេ ឬថាតើឧប្បត្តិហេតុណាមួយក្នុងចំណោមឧប្បត្តិហេតុទាំងនោះទទួលបានជោគជ័យឬអត់នោះទេ។ Fortinet ក៏បានណែនាំអតិថិជនដែលរងផលប៉ះពាល់ឱ្យទាក់ទងក្រុមគាំទ្ររបស់ខ្លួន និងកំណត់ឡើងវិញនូវព័ត៌មានសម្ងាត់ទាំងអស់ ប្រសិនបើពួកគេរកឃើញភស្តុតាងនៃអ្នកប្រើប្រាស់រដ្ឋបាល ឬ VPN ត្រូវបានផ្ទៀងផ្ទាត់ដោយគ្មាន 2FA។