-
09/04/2020
-
141
-
1.935 bài viết
Fortinet cảnh báo lỗ hổng EMS bị khai thác nhằm đánh cắp dữ liệu trình duyệt
Một lỗ hổng trong hệ thống quản lý thiết bị đầu cuối FortiClient EMS của Fortinet đang bị tin tặc khai thác để phát tán mã độc đánh cắp thông tin trên diện rộng. Điều đáng lo ngại là kẻ tấn công không cần xâm nhập riêng lẻ từng máy tính mà có thể lợi dụng chính hạ tầng quản trị tập trung của doanh nghiệp để đẩy mã độc xuống toàn bộ thiết bị đang được quản lý, biến hệ thống cập nhật bảo mật thành công cụ phát tán malware.
Theo cảnh báo từ hãng an ninh mạng Arctic Wolf, chiến dịch tấn công được ghi nhận trong tháng 5/2026 đã lợi dụng lỗ hổng CVE-2026-35616 với điểm CVSS 9,1. Lỗ hổng này tồn tại trong nền tảng FortiClient Endpoint Management Server (EMS), một giải pháp được nhiều doanh nghiệp sử dụng để quản lý thiết bị đầu cuối, triển khai cấu hình bảo mật và cập nhật phần mềm cho nhân viên.
Lỗ hổng CVE-2026-35616 là gì?
CVE-2026-35616 là lỗ hổng bypass xác thực trước đăng nhập, cho phép kẻ tấn công truy cập trái phép vào các API quản trị của FortiClient EMS mà không cần xác thực hợp lệ. Sau khi vượt qua cơ chế bảo vệ, tin tặc có thể leo thang đặc quyền và chiếm quyền điều khiển hệ thống quản trị tập trung.
Nói cách khác, thay vì phải xâm nhập từng máy tính trong doanh nghiệp, hacker chỉ cần kiểm soát máy chủ EMS là có thể gửi lệnh hoặc phần mềm độc hại tới toàn bộ thiết bị đang kết nối với hệ thống.
Fortinet đã phát hành bản vá cho lỗ hổng này trong FortiClient EMS phiên bản 7.4.7 trở lên. Tuy nhiên, nhiều tổ chức vẫn chưa cập nhật kịp thời, khiến nguy cơ bị khai thác vẫn rất cao.
Nói cách khác, thay vì phải xâm nhập từng máy tính trong doanh nghiệp, hacker chỉ cần kiểm soát máy chủ EMS là có thể gửi lệnh hoặc phần mềm độc hại tới toàn bộ thiết bị đang kết nối với hệ thống.
Fortinet đã phát hành bản vá cho lỗ hổng này trong FortiClient EMS phiên bản 7.4.7 trở lên. Tuy nhiên, nhiều tổ chức vẫn chưa cập nhật kịp thời, khiến nguy cơ bị khai thác vẫn rất cao.
Tin tặc lợi dụng cơ chế cập nhật hợp pháp để phát tán mã độc
Điểm nguy hiểm nhất của chiến dịch nằm ở việc mã độc được triển khai thông qua chính cơ chế quản lý hợp pháp của FortiClient EMS. Điều này khiến hoạt động độc hại trông giống hệt một tác vụ quản trị bình thường, rất khó bị phát hiện.
Sau khi xâm nhập thành công máy chủ EMS, kẻ tấn công sẽ chỉnh sửa cấu hình hệ thống nhằm trì hoãn thông báo cập nhật firmware để tránh bị quản trị viên chú ý. Tiếp đó, chúng thay đổi các cấu hình Remote Access Profile và endpoint policy để chèn các script PowerShell độc hại.
Các lệnh này sau đó được đẩy xuống thiết bị người dùng thông qua kênh quản trị chính thống của FortiClient. Vì lệnh xuất phát từ hệ thống quản trị hợp lệ nên nhiều giải pháp bảo mật nội bộ có thể xem đây là hoạt động đáng tin cậy.
Theo phân tích của Arctic Wolf, hacker còn sử dụng file hợp pháp “fortitray.exe” để khởi chạy file CMD thông qua cmd.exe. File CMD tiếp tục thực thi PowerShell script được mã hóa Base64 nhằm tải xuống payload độc hại từ máy chủ bên ngoài.
Payload cuối cùng có tên “FortiEndpoint_Patch.exe”, được ngụy trang như một bản vá cập nhật Fortinet nhưng thực chất là một mã độc đánh cắp thông tin Windows hoàn toàn mới chưa từng được ghi nhận trước đây.
Sau khi xâm nhập thành công máy chủ EMS, kẻ tấn công sẽ chỉnh sửa cấu hình hệ thống nhằm trì hoãn thông báo cập nhật firmware để tránh bị quản trị viên chú ý. Tiếp đó, chúng thay đổi các cấu hình Remote Access Profile và endpoint policy để chèn các script PowerShell độc hại.
Các lệnh này sau đó được đẩy xuống thiết bị người dùng thông qua kênh quản trị chính thống của FortiClient. Vì lệnh xuất phát từ hệ thống quản trị hợp lệ nên nhiều giải pháp bảo mật nội bộ có thể xem đây là hoạt động đáng tin cậy.
Theo phân tích của Arctic Wolf, hacker còn sử dụng file hợp pháp “fortitray.exe” để khởi chạy file CMD thông qua cmd.exe. File CMD tiếp tục thực thi PowerShell script được mã hóa Base64 nhằm tải xuống payload độc hại từ máy chủ bên ngoài.
Payload cuối cùng có tên “FortiEndpoint_Patch.exe”, được ngụy trang như một bản vá cập nhật Fortinet nhưng thực chất là một mã độc đánh cắp thông tin Windows hoàn toàn mới chưa từng được ghi nhận trước đây.
Mã độc có thể đánh cắp mật khẩu, cookie và dữ liệu tài chính
Mã độc được phát tán trong chiến dịch này có khả năng thu thập hàng loạt dữ liệu nhạy cảm từ trình duyệt Chromium và Gecko như:
- Mật khẩu đã lưu
- Cookie phiên đăng nhập
- Dữ liệu autofill
- Thông tin thẻ tín dụng
- Địa chỉ và số điện thoại
- Thông tin xác thực phiên làm việc
Toàn bộ dữ liệu đánh cắp sẽ được lưu vào thư mục ProgramData trên máy nạn nhân trước khi bị PowerShell script gửi về máy chủ điều khiển của hacker thông qua HTTP POST request tới địa chỉ 83.138.53[.]110.
Các chuyên gia cảnh báo rằng việc đánh cắp cookie và session token đặc biệt nguy hiểm vì hacker có thể tái sử dụng phiên đăng nhập để truy cập dịch vụ đám mây, email doanh nghiệp hoặc hệ thống nội bộ mà không cần vượt qua cơ chế xác thực đa yếu tố (MFA).
Các chuyên gia cảnh báo rằng việc đánh cắp cookie và session token đặc biệt nguy hiểm vì hacker có thể tái sử dụng phiên đăng nhập để truy cập dịch vụ đám mây, email doanh nghiệp hoặc hệ thống nội bộ mà không cần vượt qua cơ chế xác thực đa yếu tố (MFA).
Vì sao cuộc tấn công này đặc biệt nguy hiểm?
Khác với các chiến dịch malware truyền thống phải phát tán qua email lừa đảo hoặc file crack, chiến dịch lần này tận dụng trực tiếp hạ tầng quản trị của doanh nghiệp. Điều này tạo ra nhiều rủi ro nghiêm trọng:
- Một máy chủ EMS bị chiếm quyền có thể biến toàn bộ thiết bị quản lý thành nạn nhân
- Mã độc được phát tán từ nguồn hợp pháp nên khó bị nghi ngờ
- Hacker có thể mở rộng tấn công sang hệ thống cloud, VPN và tài khoản doanh nghiệp
- Session cookie bị đánh cắp có thể giúp vượt qua MFA
- Các thiết bị đầu cuối trở thành bàn đạp cho tấn công nội bộ sâu hơn
Đặc biệt, đây là mô hình “trusted channel abuse” - lợi dụng kênh quản trị đáng tin cậy để triển khai malware. Đây đang là xu hướng ngày càng phổ biến trong các cuộc tấn công nhắm vào doanh nghiệp lớn.
Những tổ chức nào có nguy cơ bị ảnh hưởng?
Các doanh nghiệp sử dụng FortiClient EMS để quản lý thiết bị đầu cuối đều có nguy cơ bị ảnh hưởng, đặc biệt là:
- Doanh nghiệp sử dụng hạ tầng VPN Fortinet
- Tổ chức có mô hình làm việc từ xa
- Công ty quản lý tập trung nhiều endpoint
- Doanh nghiệp có hệ thống hybrid cloud
- Đơn vị tài chính, ngân hàng, logistics và sản xuất
Nếu hệ thống EMS chưa được cập nhật lên phiên bản an toàn, hacker có thể lợi dụng lỗ hổng để chiếm quyền điều khiển toàn bộ môi trường endpoint.
Chuyên gia khuyến nghị gì?
Các chuyên gia an ninh mạng khuyến cáo doanh nghiệp cần khẩn cấp:
- Cập nhật FortiClient EMS lên phiên bản 7.4.7 hoặc mới hơn
- Kiểm tra log để phát hiện thay đổi bất thường trong endpoint policy
- Rà soát các PowerShell script được triển khai gần đây
- Kiểm tra dấu hiệu tồn tại của file “FortiEndpoint_Patch.exe”
- Theo dõi kết nối tới địa chỉ IP đáng ngờ 83.138.53[.]110
- Thu hồi và thay đổi toàn bộ mật khẩu nếu nghi ngờ bị đánh cắp
- Đăng xuất toàn bộ session đăng nhập đang hoạt động
- Kích hoạt EDR/XDR để phát hiện hành vi thực thi PowerShell bất thường
- Giới hạn quyền quản trị EMS và phân tách mạng quản trị
Ngoài ra, doanh nghiệp nên triển khai cơ chế giám sát hành vi bất thường trên hệ thống quản lý endpoint, thay vì chỉ tin tưởng tuyệt đối vào các tác vụ xuất phát từ nền tảng quản trị nội bộ. Việc vá lỗi kịp thời, giám sát bất thường và kiểm soát chặt quyền quản trị không còn là khuyến nghị mà là yêu cầu bắt buộc để giảm thiểu nguy cơ bị xâm nhập quy mô lớn.