-
09/04/2020
-
110
-
1.035 bài viết
Lỗ hổng trong Fortinet: Nguy cơ toàn quyền kiểm soát và khai thác từ xa không cần xác thực
Chỉ trong một tuần, Fortinet đã công bố hai lỗ hổng bảo mật nghiêm trọng ảnh hưởng tới nhiều sản phẩm chiến lược, từ hệ điều hành tường lửa FortiOS đến nền tảng quản trị sự kiện FortiSIEM. Điểm chung của cả hai là khả năng cho phép kẻ tấn công giành quyền kiểm soát hệ thống với đặc quyền quản trị, đe dọa trực tiếp tới tính toàn vẹn của hạ tầng mạng doanh nghiệp.
Bản chất của lỗ hổng là bypass xác thực thông qua một kênh hoặc đường dẫn thay thế, thuộc nhóm CWE-288. Các chuyên gia Fortinet, dẫn đầu bởi Théo Leleu, phát hiện rằng kẻ tấn công có thể gửi các gói FGFM được chế tác đặc biệt tới các thiết bị đang được quản lý bởi FortiManager. Điều kiện tiên quyết để khai thác thành công là biết số serial của FortiManager, thành phần đóng vai trò then chốt trong quá trình xác thực. Khi vượt qua được lớp bảo vệ này, tin tặc có thể truy cập như một quản trị viên hợp pháp và thực hiện các thay đổi cấu hình hoặc cài đặt backdoor, đe dọa trực tiếp tới hạ tầng mạng doanh nghiệp.
Các phiên bản bị ảnh hưởng gồm:
PoC khai thác CVE-2025-25256 đã xuất hiện trong thực tế, cho thấy tin tặc đã bắt đầu lợi dụng lỗ hổng này trên các triển khai FortiSIEM. PoC hoạt động bằng cách gửi các yêu cầu CLI chế tác đặc biệt, chèn ký tự điều khiển hoặc chuỗi lệnh hệ thống vào các tham số hợp lệ. Khi FortiSIEM xử lý các lệnh này, hệ thống hiểu nhầm và thực thi chúng với quyền của dịch vụ, cho phép kẻ tấn công chạy lệnh, thu thập dữ liệu nhạy cảm hoặc triển khai script tự động mà gần như không để lại Indicators of Compromise (IoCs).
Cơ chế khai thác CVE‑2025‑25256 làm nổi bật ba rủi ro kỹ thuật quan trọng:
CVE-2024-26009: Lỗ hổng bypass xác thực trong FortiOS, FortiProxy và FortiPAM
Một lỗ hổng bảo mật nghiêm trọng vừa được phát hiện trong các sản phẩm Fortinet, bao gồm FortiOS, FortiProxy và FortiPAM, gây nguy cơ kẻ tấn công vượt qua hệ thống xác thực để giành quyền kiểm soát thiết bị. Được định danh là CVE-2024-26009 và có điểm CVSS 7.9, lỗ hổng này liên quan đến giao thức FortiGate-to-FortiManager (FGFM), vốn được thiết kế để bảo đảm kênh liên lạc an toàn giữa các thiết bị FortiGate và hệ thống quản trị tập trung FortiManager. Khi khai thác thành công, kẻ tấn công có thể thực thi lệnh hoặc mã tùy ý với đặc quyền quản trị, từ đó giành toàn quyền kiểm soát các thiết bị quản lý mạng quan trọng.Bản chất của lỗ hổng là bypass xác thực thông qua một kênh hoặc đường dẫn thay thế, thuộc nhóm CWE-288. Các chuyên gia Fortinet, dẫn đầu bởi Théo Leleu, phát hiện rằng kẻ tấn công có thể gửi các gói FGFM được chế tác đặc biệt tới các thiết bị đang được quản lý bởi FortiManager. Điều kiện tiên quyết để khai thác thành công là biết số serial của FortiManager, thành phần đóng vai trò then chốt trong quá trình xác thực. Khi vượt qua được lớp bảo vệ này, tin tặc có thể truy cập như một quản trị viên hợp pháp và thực hiện các thay đổi cấu hình hoặc cài đặt backdoor, đe dọa trực tiếp tới hạ tầng mạng doanh nghiệp.
Các phiên bản bị ảnh hưởng gồm:
- FortiOS: 6.0 đến 6.4.15, 6.2.0 đến 6.2.16
- FortiProxy: 7.0.0 đến 7.0.15, 7.2.0 đến 7.2.8, 7.4.0 đến 7.4.2
- FortiPAM: 1.0, 1.1, 1.2 (không có bản vá, buộc nâng cấp)
CVE-2025-25256: Lỗ hổng thực thi lệnh từ xa trong FortiSIEM
Trong khi các tổ chức gấp rút vá CVE-2024-26009, một lỗ hổng khác lại nhắm vào nền tảng quản lý sự kiện an ninh FortiSIEM với mã định danh là CVE-2025-25256. Lỗi này thuộc nhóm CWE-78 và xuất phát từ việc FortiSIEM không xử lý đúng các ký tự đặc biệt trong lệnh hệ điều hành khi tiếp nhận yêu cầu CLI, tạo điều kiện cho kẻ tấn công thực thi lệnh từ xa mà không cần xác thực qua cổng phMonitor 7900, điểm truy cập chính cho các hành vi độc hại.PoC khai thác CVE-2025-25256 đã xuất hiện trong thực tế, cho thấy tin tặc đã bắt đầu lợi dụng lỗ hổng này trên các triển khai FortiSIEM. PoC hoạt động bằng cách gửi các yêu cầu CLI chế tác đặc biệt, chèn ký tự điều khiển hoặc chuỗi lệnh hệ thống vào các tham số hợp lệ. Khi FortiSIEM xử lý các lệnh này, hệ thống hiểu nhầm và thực thi chúng với quyền của dịch vụ, cho phép kẻ tấn công chạy lệnh, thu thập dữ liệu nhạy cảm hoặc triển khai script tự động mà gần như không để lại Indicators of Compromise (IoCs).
Cơ chế khai thác CVE‑2025‑25256 làm nổi bật ba rủi ro kỹ thuật quan trọng:
- Truy cập mạng không xác thực: FortiSIEM cho phép kết nối tới dịch vụ phMonitor mà không cần xác thực, đồng nghĩa bất kỳ thiết bị nào có quyền truy cập mạng tới cổng 7900 đều có thể gửi lệnh, mở cửa ngõ trực tiếp cho kẻ tấn công
- Xử lý đầu vào thiếu kiểm soát: Các tham số CLI không được lọc hay mã hóa đúng cách, cho phép chèn chuỗi ký tự điều khiển và lệnh hệ thống. FortiSIEM hiểu và thực thi các lệnh này với quyền của dịch vụ
- Khai thác không để lại dấu vết: PoC tận dụng lỗ hổng xử lý ký tự đặc biệt mà không sinh ra log hay Indicators of Compromise (IoCs) rõ ràng, khiến việc phát hiện và ứng phó trở nên khó khăn
- FortiSIEM 7.x: 7.3.0–7.3.1, 7.2.0–7.2.5, 7.1.0–7.1.7, 7.0.0–7.0.3
- FortiSIEM 6.x: 6.7.0–6.7.9, toàn bộ các bản 6.6, 6.5, 6.4, 6.3, 6.2, 6.1
- FortiSIEM 5.4
Mức độ khẩn cấp và khuyến nghị
Sự xuất hiện đồng thời của hai lỗ hổng nghiêm trọng này nhấn mạnh mức rủi ro kép đối với các doanh nghiệp và tổ chức sử dụng hệ sinh thái Fortinet. Một mặt, CVE-2024-26009 cho thấy kẻ tấn công có thể chiếm quyền quản trị toàn bộ thiết bị mạng, ảnh hưởng trực tiếp đến cấu hình và bảo mật hạ tầng; mặt khác, CVE-2025-25256 cho phép tấn công trực tiếp vào hệ thống giám sát và quản lý sự kiện an ninh, nơi thường được dùng để phát hiện và ngăn chặn các mối đe dọa mạng khác. Để giảm thiểu rủi ro, Fortinet khuyến nghị các tổ chức- Rà soát phiên bản sản phẩm Fortinet đang sử dụng và đối chiếu với danh sách bị ảnh hưởng
- Triển khai bản vá hoặc nâng cấp theo hướng dẫn của Fortinet ngay lập tức
- Giới hạn quyền truy cập tới dịch vụ quản trị như FGFM và cổng 7900 của phMonitor
- Giám sát lưu lượng và nhật ký hệ thống, tìm dấu hiệu bất thường dù nhỏ nhất, do một số khai thác không để lại dấu vết rõ ràng.
Tổng hơp