VietNetwork.Vn

Các nhà nghiên cứu an ninh mạng đang cảnh báo về lỗ hổng bỏ qua xác thực trong Tường lửa ứng dụng web (WAF) của Fortinet Fortiweb có thể cho phép kẻ tấn công chiếm quyền quản trị tài khoản và xâm phạm hoàn toàn thiết bị.

Benjamin Harris, Giám đốc điều hành và người sáng lập của watchTowr, cho biết trong một tuyên bố: "Nhóm watchTowr đang chứng kiến tình trạng khai thác bừa bãi và chủ động đối với lỗ hổng bảo mật dường như đã được vá âm thầm trong sản phẩm FortiWeb của Fortinet".


"Được vá trong phiên bản 8.0.2, lỗ hổng bảo mật này cho phép kẻ tấn công thực hiện hành động như một người dùng có đặc quyền - với khả năng khai thác thực tế tập trung vào việc thêm một tài khoản quản trị viên mới như một cơ chế duy trì cơ bản cho kẻ tấn công."

Công ty an ninh mạng cho biết họ đã tái tạo thành công lỗ hổng và tạo ra một bằng chứng khái niệm (Poc) hoạt động. Họ cũng đã phát hành một công cụ tạo hiện vật để bỏ qua xác thực nhằm giúp xác định các thiết bị dễ bị tấn công.

Theo thông tin chi tiết được chia sẻ bởi Defused và nhà nghiên cứu bảo mật Daniel Card của PwnDefend, kẻ tấn công đứng sau vụ khai thác này đã được phát hiện gửi một dữ liệu đến điểm cuối "/api/v2.0/cmdb/system/admin%3F/../../../../../cgi-bin/fwbcgi" thông qua yêu cầu HTTP POST để tạo tài khoản quản trị viên.

Một số tên người dùng và mật khẩu quản trị viên được tạo bởi các tải trọng được phát hiện trong tự nhiên như sau:

    Testpoint / AFodIUU3Sszp5
    trader1 / 3eMIXX43
    trader / 3eMIXX43
    test1234point / AFT3$tH4ck
    Testpoint / AFT3$tH4ck
    Testpoint / AFT3$tH4ckmet0d4yaga!n

Nhà nghiên cứu Sina Kheirkhah của watchTowr Labs, trong một phân tích tiếp theo, cho biết lỗ hổng bảo mật thực chất là sự kết hợp của hai lỗi: lỗi duyệt đường dẫn trong yêu cầu HTTP để truy cập tệp thực thi "fwbcgi" ("/api/v2.0/cmdb/system/admin%3F/../../../../../cg1-bin/fwbcgi") và lỗi bỏ qua xác thực thông qua nội dung của tiêu đề yêu cầu HTTP CGIINFO.


Tệp nhị phân "fwbcgi" bao gồm một kiểm tra để xác nhận xem nội dung của yêu cầu HTTP đến có phải là một blob JSON hợp lệ hay không, cũng như gọi một hàm có tên "cgi_auth()", "cung cấp một cơ chế để mạo danh bất kỳ người dùng nào dựa trên dữ liệu do máy khách cung cấp".

Quá trình này diễn ra qua bốn bước:

    Trích xuất tiêu đề CGIINFO từ yêu cầu HTTP
    Giải mã giá trị được mã hóa Base64
    Phân tích kết quả dưới dạng JSON
    Lặp lại tất cả các khóa JSON trong blob để trích xuất bốn thuộc tính: tên người dùng, profname (tên hồ sơ), vdom (tên miền ảo) và loginname (mã định danh đăng nhập)

Nói cách khác, các trường này được truyền qua yêu cầu HTTP sẽ hướng dẫn "fwbcgi" người dùng mà người gửi yêu cầu muốn mạo danh. Trong trường hợp tài khoản "admin" tích hợp sẵn, các giá trị này nhất quán trên mọi thiết bị và không thể thay đổi: tên người dùng ("admin"), tên chuyên nghiệp ("prof_admin"), tên người dùng ("root") và tên đăng nhập ("admin").

Do đó, kẻ tấn công có thể lợi dụng lỗ hổng duyệt đường dẫn bằng cách gửi yêu cầu HTTP được thiết kế riêng có chứa tiêu đề CGIINFO cho phép chúng mạo danh bất kỳ người dùng nào, bao gồm cả quản trị viên, chỉ bằng cách cung cấp các giá trị đã đề cập ở trên và kế thừa các đặc quyền của họ.

Kheirkhah giải thích: "Điều đó có nghĩa là kẻ tấn công có thể thực hiện bất kỳ hành động đặc quyền nào chỉ bằng cách cung cấp cấu trúc JSON thích hợp", đồng thời cho biết thêm rằng lỗ hổng này có thể được lợi dụng để tạo ra người dùng cục bộ mới có đặc quyền cao hơn.

Nguồn gốc và danh tính của kẻ tấn công đứng sau các cuộc tấn công vẫn chưa được xác định. Hoạt động khai thác này được phát hiện lần đầu vào đầu tháng trước. Tại thời điểm viết bài, Fortinet chưa chỉ định mã định danh CVE hoặc công bố khuyến cáo trên nguồn cấp dữ liệu PSIRT của mình.

Rapid7, đơn vị đang thúc giục các tổ chức đang chạy phiên bản Fortinet FortiWeb trước phiên bản 8.0.2 giải quyết lỗ hổng bảo mật khẩn cấp, cho biết họ đã phát hiện một lỗ hổng zero-day được cho là nhắm vào FortiWeb đã được công bố để bán trên một diễn đàn mũ đen nổi tiếng vào ngày 6 tháng 11 năm 2025. Hiện tại vẫn chưa rõ liệu đó có phải là cùng một lỗ hổng bảo mật hay không.

"Trong khi chờ đợi phản hồi từ Fortinet, người dùng và doanh nghiệp hiện đang phải đối mặt với một quy trình quen thuộc: tìm kiếm các dấu hiệu nhỏ cho thấy đã bị xâm phạm trước đó, liên hệ với Fortinet để biết thêm thông tin và áp dụng các bản vá nếu chưa áp dụng", Harris nói. "Tuy nhiên, xét đến tình trạng khai thác bừa bãi đã được quan sát [...], các thiết bị chưa được vá có khả năng đã bị xâm phạm."

Fortinet hiện đang theo dõi lỗ hổng bảo mật này với mã hiệu CVE-2025-64446 (điểm CVSS: 9.1), mô tả đây là lỗ hổng truy cập đường dẫn tương đối (relative path traversal) trong FortiWeb, có thể cho phép kẻ tấn công chưa được xác thực thực thi các lệnh quản trị trên hệ thống thông qua các yêu cầu HTTP hoặc HTTPS được tạo sẵn. Công ty cũng thừa nhận rằng họ đã "quan sát thấy lỗ hổng này bị khai thác trong thực tế".

Sự cố này ảnh hưởng đến các phiên bản sau:

    FortiWeb 8.0.0 đến 8.0.1 (Nâng cấp lên 8.0.2 trở lên)
    FortiWeb 7.6.0 đến 7.6.4 (Nâng cấp lên 7.6.5 trở lên)
    FortiWeb 7.4.0 đến 7.4.9 (Nâng cấp lên 7.4.10 trở lên)
    FortiWeb 7.2.0 đến 7.2.11 (Nâng cấp lên 7.2.12 trở lên)
    FortiWeb 7.0.0 đến 7.0.11 (Nâng cấp lên 7.0.12 trở lên)

Để khắc phục, người dùng được khuyến cáo tắt HTTP hoặc HTTPS cho các giao diện kết nối internet cho đến khi bản vá được áp dụng. Người dùng cũng nên xem lại cấu hình và nhật ký để phát hiện các thay đổi bất ngờ hoặc thêm tài khoản quản trị viên trái phép.

Người phát ngôn của công ty chia sẻ với The Hacker News: "Chúng tôi đã nhận thức được lỗ hổng này và đã kích hoạt phản hồi PSIRT cũng như các nỗ lực khắc phục ngay khi biết được vấn đề này, và những nỗ lực đó vẫn đang được tiếp tục".

Fortinet luôn cân bằng giữa cam kết bảo mật cho khách hàng và văn hóa minh bạch có trách nhiệm của chúng tôi. Với mục tiêu và nguyên tắc hàng đầu đó, chúng tôi đang liên hệ trực tiếp với khách hàng bị ảnh hưởng để tư vấn về bất kỳ hành động khuyến nghị cần thiết nào. Chúng tôi khuyến nghị khách hàng tham khảo khuyến cáo và làm theo hướng dẫn được cung cấp cho CVE FG-IR-25-910.

Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) cũng đã thêm lỗ hổng bảo mật này vào danh mục Lỗ hổng bảo mật đã biết ( KEV ), yêu cầu các cơ quan thuộc Cơ quan Hành pháp Dân sự Liên bang (FCEB) áp dụng bản sửa lỗi trước ngày 21 tháng 11 năm 2025.

"Hạn chế quyền truy cập vào giao diện quản lý HTTP/HTTPS đối với các mạng nội bộ là biện pháp tốt nhất giúp giảm thiểu nhưng không loại bỏ hoàn toàn rủi ro; việc nâng cấp các hệ thống bị ảnh hưởng vẫn là điều cần thiết và là cách duy nhất để khắc phục hoàn toàn lỗ hổng này", cơ quan này cho biết trong một thông báo riêng.

Trong một cảnh báo tương tự, công ty an ninh mạng VulnCheck đã kêu gọi khách hàng của FortiWeb liên hệ với nhà cung cấp để được hướng dẫn về cách phát hiện mối đe dọa và các dấu hiệu xâm phạm khác (IoC). Công ty cũng chỉ trích phương pháp bảo mật bằng cách che giấu thông tin của Fortinet.

Caitlin Condon của VulnCheck cho biết : "Việc âm thầm vá các lỗ hổng bảo mật là một hành vi xấu đã tồn tại từ lâu, tạo điều kiện cho kẻ tấn công và gây hại cho bên bảo vệ, đặc biệt là đối với các thiết bị và hệ thống (bao gồm cả FortiWeb) đã từng bị khai thác ngoài thực tế. Khi các nhà cung cấp công nghệ phổ biến không thông báo về các vấn đề bảo mật mới, họ đang mời gọi kẻ tấn công trong khi vẫn giữ kín thông tin đó với bên bảo vệ."