-
09/04/2020
-
128
-
1.774 bài viết
Lỗ hổng zero-day trên FortiClient EMS: Tin tặc đã khai thác ngoài thực tế
Hãng bảo mật Fortinet đã phát đi cảnh báo khẩn cấp về một lỗ hổng trong hệ thống quản lý thiết bị đầu cuối FortiClient EMS, khi lỗ hổng này đã bị tin tặc khai thác ngoài thực tế dưới dạng zero-day. Với khả năng cho phép kẻ tấn công từ xa chiếm quyền hệ thống mà không cần xác thực, đây được đánh giá là một trong những rủi ro đáng lo ngại nhất hiện nay đối với các tổ chức đang sử dụng giải pháp này.
Lỗ hổng được định danh là CVE-2026-35616, tồn tại trong FortiClient EMS (nền tảng quản lý tập trung các thiết bị sử dụng FortiClient trong doanh nghiệp). Đây là hệ thống đóng vai trò quan trọng trong việc kiểm soát endpoint, triển khai chính sách bảo mật và giám sát thiết bị người dùng. Lỗ hổng này có điểm CVSS 9,1/10, thuộc nhóm nguy cơ rất cao. Bản chất của lỗ hổng là một lỗi kiểm soát truy cập không đúng (CWE-284), dẫn đến việc bỏ qua cơ chế xác thực API trước khi đăng nhập.
Các tổ chức nghiên cứu như watchTowr đã ghi nhận các hoạt động khai thác thực tế từ ngày 31/3/2026, cho thấy lỗ hổng đã bị sử dụng như một zero-day trước khi có bản vá chính thức.
Cơ chế khai thác: Tin tặc lợi dụng như thế nào?
Về mặt kỹ thuật, lỗ hổng cho phép kẻ tấn công gửi các yêu cầu được chế tạo đặc biệt tới API của hệ thống FortiClient EMS mà không cần đăng nhập. Do hệ thống không kiểm tra đúng quyền truy cập, các yêu cầu này vẫn được xử lý như hợp lệ.
Khi khai thác thành công, hacker có thể vượt qua toàn bộ lớp xác thực và phân quyền, từ đó thực thi các lệnh trái phép hoặc chạy mã độc trên hệ thống. Điều này đồng nghĩa với việc một đối tượng bên ngoài có thể kiểm soát hệ thống quản lý endpoint của doanh nghiệp mà không cần bất kỳ thông tin đăng nhập nào.
Đây là dạng lỗ hổng đặc biệt nguy hiểm vì kết hợp hai yếu tố: không cần xác thực và có thể thực thi mã từ xa, tạo điều kiện cho các cuộc tấn công nhanh và khó phát hiện.
Khi khai thác thành công, hacker có thể vượt qua toàn bộ lớp xác thực và phân quyền, từ đó thực thi các lệnh trái phép hoặc chạy mã độc trên hệ thống. Điều này đồng nghĩa với việc một đối tượng bên ngoài có thể kiểm soát hệ thống quản lý endpoint của doanh nghiệp mà không cần bất kỳ thông tin đăng nhập nào.
Đây là dạng lỗ hổng đặc biệt nguy hiểm vì kết hợp hai yếu tố: không cần xác thực và có thể thực thi mã từ xa, tạo điều kiện cho các cuộc tấn công nhanh và khó phát hiện.
Mức độ nguy hiểm và bối cảnh khai thác thực tế
Fortinet xác nhận lỗ hổng này đã bị khai thác ngoài thực tế, khiến mức độ rủi ro tăng lên đáng kể. Đáng chú ý, thời điểm khai thác trùng với kỳ nghỉ lễ, khi lực lượng vận hành an ninh của nhiều tổ chức bị suy giảm. Theo các chuyên gia, đây là chiến thuật quen thuộc của tin tặc nhằm kéo dài thời gian phát hiện và phản ứng.
Việc lỗ hổng bị khai thác ngay sau khi công bố cho thấy các nhóm tấn công đang theo dõi sát sao các bản vá bảo mật và nhanh chóng vũ khí hóa các lỗ hổng mới.
Chỉ vài ngày trước đó, một lỗ hổng nghiêm trọng khác trong FortiClient EMS là CVE-2026-21643 cũng đã bị khai thác tích cực. Điều này đặt ra nghi vấn về khả năng các lỗ hổng có thể bị kết hợp để tạo thành chuỗi tấn công phức tạp hơn, dù hiện chưa có bằng chứng xác nhận.
Việc lỗ hổng bị khai thác ngay sau khi công bố cho thấy các nhóm tấn công đang theo dõi sát sao các bản vá bảo mật và nhanh chóng vũ khí hóa các lỗ hổng mới.
Chỉ vài ngày trước đó, một lỗ hổng nghiêm trọng khác trong FortiClient EMS là CVE-2026-21643 cũng đã bị khai thác tích cực. Điều này đặt ra nghi vấn về khả năng các lỗ hổng có thể bị kết hợp để tạo thành chuỗi tấn công phức tạp hơn, dù hiện chưa có bằng chứng xác nhận.
Rủi ro và hậu quả nếu bị khai thác
Nếu bị khai thác thành công, lỗ hổng có thể dẫn đến những hậu quả nghiêm trọng đối với doanh nghiệp. Tin tặc có thể chiếm quyền điều khiển hệ thống quản lý endpoint, từ đó kiểm soát toàn bộ các thiết bị đầu cuối trong mạng.
Hệ quả có thể bao gồm việc triển khai mã độc trên diện rộng, đánh cắp dữ liệu nhạy cảm hoặc sử dụng hệ thống bị xâm nhập làm bàn đạp để tấn công sâu hơn vào hạ tầng nội bộ. Trong các kịch bản nghiêm trọng, hacker thậm chí có thể làm gián đoạn hoạt động kinh doanh hoặc triển khai ransomware trên toàn hệ thống.
Hệ quả có thể bao gồm việc triển khai mã độc trên diện rộng, đánh cắp dữ liệu nhạy cảm hoặc sử dụng hệ thống bị xâm nhập làm bàn đạp để tấn công sâu hơn vào hạ tầng nội bộ. Trong các kịch bản nghiêm trọng, hacker thậm chí có thể làm gián đoạn hoạt động kinh doanh hoặc triển khai ransomware trên toàn hệ thống.
Giải pháp và khuyến nghị từ chuyên gia
Fortinet đã phát hành bản vá khẩn cấp cho các phiên bản bị ảnh hưởng, bao gồm FortiClient EMS 7.4.5 và 7.4.6, đồng thời cho biết bản vá hoàn chỉnh sẽ có trong phiên bản 7.4.7 sắp tới. Trong bối cảnh chưa có biện pháp giảm thiểu thay thế, việc cập nhật bản vá là yêu cầu bắt buộc.
Các chuyên gia an ninh mạng nhấn mạnh rằng đây cần được xem là tình huống phản ứng khẩn cấp, đặc biệt với các hệ thống đang mở ra Internet. Người dùng và tổ chức nên nhanh chóng kiểm tra và cập nhật hệ thống, đồng thời tăng cường giám sát để phát hiện các dấu hiệu bất thường. Một số khuyến nghị quan trọng bao gồm:
Các chuyên gia an ninh mạng nhấn mạnh rằng đây cần được xem là tình huống phản ứng khẩn cấp, đặc biệt với các hệ thống đang mở ra Internet. Người dùng và tổ chức nên nhanh chóng kiểm tra và cập nhật hệ thống, đồng thời tăng cường giám sát để phát hiện các dấu hiệu bất thường. Một số khuyến nghị quan trọng bao gồm:
- Cập nhật ngay bản vá hoặc hotfix do Fortinet phát hành
- Hạn chế truy cập Internet trực tiếp tới hệ thống FortiClient EMS
- Theo dõi log hệ thống để phát hiện các yêu cầu API bất thường
- Kiểm tra dấu hiệu truy cập trái phép hoặc thực thi lệnh đáng ngờ
- Chuẩn bị phương án ứng phó sự cố trong trường hợp hệ thống đã bị xâm nhập
Thực tế cho thấy tốc độ và mức độ nguy hiểm ngày càng gia tăng của các mối đe dọa an ninh mạng. Khi chỉ cần một yêu cầu API được chế tạo đặc biệt cũng có thể dẫn đến việc chiếm quyền toàn bộ hệ thống, các tổ chức không còn nhiều thời gian để chần chừ. Với các doanh nghiệp đang sử dụng FortiClient EMS cần hành động ngay lập tức để tránh trở thành mục tiêu tiếp theo của tin tặc.
Theo The Hacker News