Tìm kiếm

Thiết bị Fortinet FortiGate bị tấn công thông qua việc xác thực SAML SSO

Thiết bị Fortinet FortiGate bị tấn công thông qua việc xác thực SAML SSO

Tác giả T-X, T.M.Hai 17, 2025, 10:55:56 CHIỀU

« Chủ đề trước - Chủ đề tiếp »

0 Thành viên và 2 Khách đang xem chủ đề.

Tạo trang in
Xuống cuối trang Trang1
User actions
T.M.Hai 17, 2025, 10:55:56 CHIỀU
Chưa đầy một tuần sau khi được công bố, các tác nhân đe dọa đã bắt đầu khai thác hai lỗ hổng bảo mật mới được phát hiện trong thiết bị Fortinet FortiGate.

Công ty an ninh mạng Arctic Wolf cho biết họ đã phát hiện các cuộc xâm nhập đang diễn ra liên quan đến các hình thức đăng nhập một lần (SSO) độc hại trên thiết bị FortiGate vào ngày 12 tháng 12 năm 2025. Các cuộc tấn công khai thác hai lỗ hổng bỏ qua xác thực nghiêm trọng (CVE-2025-59718 và CVE-2025-59719, điểm CVSS: 9.8). Các bản vá lỗi cho các lỗ hổng này đã được Fortinet phát hành vào tuần trước cho FortiOS, FortiWeb, FortiProxy và FortiSwitchManager.


Arctic Wolf Labs cho biết trong một bản tin mới: "Những lỗ hổng này cho phép bỏ qua xác thực đăng nhập SSO mà không cần xác thực thông qua các thông điệp SAML được tạo sẵn, nếu tính năng SSO của FortiCloud được bật trên các thiết bị bị ảnh hưởng."

Cần lưu ý rằng mặc dù FortiCloud SSO bị tắt theo mặc định, nhưng nó sẽ tự động được bật trong quá trình đăng ký FortiCare trừ khi quản trị viên tắt nó một cách rõ ràng bằng cách sử dụng thiết lập "Cho phép đăng nhập quản trị bằng FortiCloud SSO" trên trang đăng ký.

Trong hoạt động độc hại được Arctic Wolf ghi nhận, các địa chỉ IP liên kết với một số nhà cung cấp dịch vụ lưu trữ nhất định, chẳng hạn như The Constant Company llc, Bl Networks và Kaopu Cloud Hk Limited, đã được sử dụng để thực hiện các cuộc đăng nhập SSO độc hại nhắm vào tài khoản "admin".

Sau khi đăng nhập, kẻ tấn công được phát hiện đã xuất cấu hình thiết bị thông qua giao diện người dùng đồ họa (GUI) đến cùng các địa chỉ IP đó.

Trước tình hình các hoạt động khai thác lỗ hổng vẫn đang diễn ra, các tổ chức được khuyến cáo nên áp dụng các bản vá lỗi càng sớm càng tốt. Để giảm thiểu rủi ro, điều cần thiết là phải vô hiệu hóa FortiCloud SSO cho đến khi các phiên bản được cập nhật lên phiên bản mới nhất và hạn chế quyền truy cập vào giao diện quản lý của tường lửa và VPN chỉ cho phép người dùng nội bộ đáng tin cậy.

Arctic Wolf cho biết: "Mặc dù thông tin đăng nhập thường được mã hóa băm trong cấu hình thiết bị mạng, nhưng các tác nhân đe dọa được biết là có thể bẻ khóa các mã băm này khi ngoại tuyến, đặc biệt nếu thông tin đăng nhập yếu và dễ bị tấn công bằng phương pháp tra cứu từ điển."

Khách hàng của Fortinet nếu phát hiện các dấu hiệu xâm phạm (IoC) phù hợp với chiến dịch này nên cho rằng hệ thống đã bị xâm phạm và đặt lại thông tin đăng nhập tường lửa đã được mã hóa lưu trữ trong các cấu hình bị đánh cắp.
Tạo trang in
Lên đầu trang Trang1
User actions

Thiết bị Fortinet FortiGate bị tấn công thông qua việc xác thực SAML SSO