-
09/04/2020
-
122
-
1.475 bài viết
Tin tặc chiếm quyền FortiWeb, cài Sliver C2 âm thầm kiểm soát từ xa
Cuộc điều tra an ninh mạng mới đây đã hé lộ một chiến dịch tấn công âm thầm nhưng đặc biệt nguy hiểm, nhắm trực tiếp vào các thiết bị FortiWeb - dòng tường lửa ứng dụng web (WAF) phổ biến trong doanh nghiệp. Bằng cách khai thác các hệ thống chưa được cập nhật, tin tặc đã triển khai thành công bộ công cụ Sliver C2, duy trì quyền truy cập lâu dài và biến các thiết bị biên thành trạm trung chuyển cho hoạt động tấn công mạng quy mô lớn. Đáng lo ngại hơn, nhiều nạn nhân hoàn toàn không hay biết rằng hệ thống của mình đã bị kiểm soát từ lâu.
Lỗ hổng nằm ở đâu và được phát hiện như thế nào?
Chiến dịch này được phát hiện trong quá trình săn tìm các mối đe dọa trên nền tảng Censys. Các nhà nghiên cứu của CtrlAltIntel tình cờ phát hiện nhiều thư mục mở chứa cơ sở dữ liệu và log của Sliver Command-and-Control (C2), từ đó lần ra dấu vết của hàng loạt thiết bị FortiWeb đã bị xâm nhập.
Phân tích cho thấy các nạn nhân đều đang sử dụng FortiWeb với phiên bản rất cũ, trải dài từ 5.4.202 đến 6.1.62. Đây là những phiên bản không còn được bảo vệ đầy đủ, thiếu các cơ chế phát hiện xâm nhập, giám sát hành vi và ghi nhận telemetry bảo mật, đây chính là nguyên nhân chính khiến việc bị tấn công kéo dài mà không bị phát hiện.
Phân tích cho thấy các nạn nhân đều đang sử dụng FortiWeb với phiên bản rất cũ, trải dài từ 5.4.202 đến 6.1.62. Đây là những phiên bản không còn được bảo vệ đầy đủ, thiếu các cơ chế phát hiện xâm nhập, giám sát hành vi và ghi nhận telemetry bảo mật, đây chính là nguyên nhân chính khiến việc bị tấn công kéo dài mà không bị phát hiện.
Lỗ hổng nào đã bị khai thác?
Theo nhận định của các chuyên gia, tin tặc đã lợi dụng các dịch vụ công khai trên FortiWeb, trong đó có khả năng liên quan đến lỗ hổng React2Shell (CVE-2025-55182). Mặc dù chưa xác định được chính xác lỗ hổng FortiWeb nào đã bị khai thác trực tiếp nhưng điểm chung của tất cả thiết bị bị ảnh hưởng là đều chưa được vá trong thời gian dài, tồn tại nhiều lỗi bảo mật chưa được khắc phục.
Quá trình khai thác và triển khai mã độc diễn ra như thế nào?
Sau khi giành được quyền truy cập ban đầu, kẻ tấn công đã triển khai Sliver (một framework điều khiển và hậu khai thác mã nguồn mở, thường được các nhóm tấn công APT sử dụng trong giai đoạn chiếm quyền kiểm soát lâu dài). Để tránh bị phát hiện, file Sliver được đổi tên thành “system-updater”, đặt tại đường dẫn "/bin/.root/system-updater", giả dạng như một thành phần hệ thống hợp pháp. Từ đó, thiết bị FortiWeb bị biến thành một “tay sai” âm thầm nhận lệnh từ máy chủ điều khiển.
Hai máy chủ C2 chính được xác định là:
Hai máy chủ C2 chính được xác định là:
- ns1.ubunutpackages[.]store
- ns1.bafairforce[.]army
Cả hai đều thuộc Autonomous System 62005, được che giấu sau các website giả mạo như trang “Ubuntu Packages” hoặc trang tuyển dụng của Không quân Bangladesh. Việc ngụy trang hạ tầng cho thấy chiến dịch có dấu hiệu nhắm mục tiêu cụ thể, không đơn thuần là tấn công diện rộng ngẫu nhiên.
Trong khoảng thời gian từ 22/12 đến 30/12/2025, các nhà nghiên cứu ghi nhận ít nhất 30 địa chỉ IP nạn nhân liên tục beacon về máy chủ Sliver, thuộc nhiều quốc gia như Bangladesh, Pakistan, Ấn Độ, Nam Phi và Mỹ.
Trong khoảng thời gian từ 22/12 đến 30/12/2025, các nhà nghiên cứu ghi nhận ít nhất 30 địa chỉ IP nạn nhân liên tục beacon về máy chủ Sliver, thuộc nhiều quốc gia như Bangladesh, Pakistan, Ấn Độ, Nam Phi và Mỹ.
Tin tặc duy trì quyền kiểm soát bằng cách nào?
Để đảm bảo mã độc luôn tồn tại, kẻ tấn công đã cấu hình các dịch vụ systemd và supervisor độc hại, ngụy trang dưới tên gọi như “Updater Service” và “rootbinary”. Các dịch vụ này tự động khởi chạy Sliver mỗi khi hệ thống reboot hoặc khi tiến trình bị dừng, tương ứng với kỹ thuật MITRE ATT&CK T1543.002 - Create or Modify System Process.
Không dừng lại ở đó, tin tặc còn triển khai thêm Fast Reverse Proxy (FRP), tải từ máy chủ công khai tại "45.83.181[.]160:8003". Công cụ này giúp mở cổng và phơi bày các tài nguyên nội bộ ra Internet, biến FortiWeb bị xâm nhập thành điểm trung chuyển cho các cuộc tấn công khác.
Song song, chúng cài đặt Microsocks để tạo SOCKS proxy, đổi tên file thành “cups-lpd” nhằm giả dạng dịch vụ in ấn hợp pháp CUPS trên cổng 515. Đáng chú ý, binary này còn chứa thông tin xác thực được hard-code, cho phép kẻ tấn công truy cập từ xa một cách kín đáo khi cần.
Không dừng lại ở đó, tin tặc còn triển khai thêm Fast Reverse Proxy (FRP), tải từ máy chủ công khai tại "45.83.181[.]160:8003". Công cụ này giúp mở cổng và phơi bày các tài nguyên nội bộ ra Internet, biến FortiWeb bị xâm nhập thành điểm trung chuyển cho các cuộc tấn công khác.
Song song, chúng cài đặt Microsocks để tạo SOCKS proxy, đổi tên file thành “cups-lpd” nhằm giả dạng dịch vụ in ấn hợp pháp CUPS trên cổng 515. Đáng chú ý, binary này còn chứa thông tin xác thực được hard-code, cho phép kẻ tấn công truy cập từ xa một cách kín đáo khi cần.
Mức độ nguy hiểm và ảnh hưởng tới người dùng
Chiến dịch này đặc biệt nguy hiểm vì nhắm vào thiết bị biên, FortiWeb không chỉ là nạn nhân mà còn trở thành công cụ tấn công, trung chuyển lưu lượng độc hại hoặc hỗ trợ xâm nhập sâu hơn vào mạng nội bộ doanh nghiệp. Hậu quả có thể bao gồm:
- Mất quyền kiểm soát hệ thống bảo vệ web
- Rò rỉ dữ liệu nội bộ và thông tin nhạy cảm
- Hạ tầng bị lợi dụng làm proxy cho các chiến dịch tấn công khác
- Nguy cơ bị cài thêm ransomware hoặc backdoor trong tương lai
Khuyến cáo từ các chuyên gia an ninh mạng
Các chuyên gia khuyến cáo tổ chức và doanh nghiệp cần khẩn trương:
- Rà soát toàn bộ thiết bị FortiWeb đang vận hành, đặc biệt là các phiên bản cũ
- Cập nhật firmware lên phiên bản mới nhất do Fortinet phát hành
- Kiểm tra sự tồn tại của các file và dịch vụ bất thường như system-updater, rootbinary, cups-lpd
- Giám sát lưu lượng outbound bất thường, đặc biệt là kết nối tới các domain lạ
- Không phơi bày trực tiếp giao diện quản trị FortiWeb ra Internet
- Bổ sung lớp giám sát và logging cho các thiết bị biên vốn thường bị bỏ quên
Chiến dịch khai thác FortiWeb cho thấy rõ sự nguy hiểm của các thiết bị bảo mật khi không được cập nhật và giám sát đúng cách, có thể trở thành điểm yếu chí mạng. Các công cụ hậu khai thác như Sliver ngày càng trở nên mạnh và dễ tiếp cận hơn thì việc chậm vá lỗ hổng không chỉ khiến hệ thống bị xâm nhập mà còn vô tình tiếp tay cho các chiến dịch tấn công quy mô toàn cầu. Đầu tư cho an ninh mạng không chỉ là mua thiết bị mà còn là duy trì, giám sát và cập nhật liên tục. Nếu không, chính những “lá chắn” ấy sẽ trở thành cánh cửa mở cho tin tặc.
WhiteHat