-
09/04/2020
-
122
-
1.274 bài viết
FortiWeb bị tấn công: Khi “lá chắn” an ninh mạng trở thành điểm yếu chí tử?
Trong hệ sinh thái hạ tầng số hiện đại, tường lửa ứng dụng web (WAF) thường được xem như tuyến phòng thủ đầu tiên chống lại các mối đe dọa trực tuyến. CISA vừa đưa ra cảnh báo khẩn cấp về một lỗ hổng trong Fortinet FortiWeb. Điều đáng lo ngại là lỗ hổng đang bị khai thác tích cực ngoài đời thực.
Lỗ hổng được định danh CVE-2025-58034, thuộc nhóm OS Command Injection (một lỗ hổng cho phép kẻ tấn công chèn và thực thi lệnh hệ điều hành trên thiết bị bị ảnh hưởng). Loại lỗi này không mới, nhưng vẫn luôn nằm trong top các kỹ thuật tấn công nguy hiểm nhất vì nó trao cho tin tặc khả năng chiếm quyền điều khiển hoàn toàn hệ thống.
Theo cảnh báo từ CISA, chỉ cần có quyền đăng nhập vào giao diện quản trị hoặc API của FortiWeb, kẻ tấn công có thể gửi yêu cầu HTTP được chế tác đặc biệt hoặc lệnh CLI để vượt qua các cơ chế bảo vệ và thực thi mã tùy ý. Cửa ngõ bị mở từ đó, hệ thống FortiWeb có thể bị kiểm soát hoàn toàn. Điều khiến vụ việc trở nên cấp bách là CISA xác nhận lỗ hổng đang bị khai thác trong các cuộc tấn công thực tế, buộc nó được đưa vào danh sách lỗ hổng bắt buộc phải xử lý ngay.
FortiWeb không chỉ là một thiết bị bảo mật đơn lẻ, nó đóng vai trò quản lý, giám sát và bảo vệ các ứng dụng web. Một khi WAF bị xâm nhập, các hệ thống phía sau gần như “mở cửa” cho tin tặc:
FortiWeb bị chiếm quyền → tin tặc quan sát, chỉnh sửa hoặc bỏ qua các luật bảo vệ → xâm nhập sâu vào hệ thống máy chủ, API, cơ sở dữ liệu…
Hơn thế, FortiWeb được triển khai tại hàng nghìn tổ chức toàn cầu, từ doanh nghiệp thương mại điện tử cho tới cơ quan nhà nước, khiến phạm vi ảnh hưởng trở nên rộng lớn.
Nghiên cứu của CISA chỉ ra rằng kẻ tấn công có thể:
CISA nhấn mạnh rằng các tổ chức cần hành động ngay lập tức:
Lỗ hổng được định danh CVE-2025-58034, thuộc nhóm OS Command Injection (một lỗ hổng cho phép kẻ tấn công chèn và thực thi lệnh hệ điều hành trên thiết bị bị ảnh hưởng). Loại lỗi này không mới, nhưng vẫn luôn nằm trong top các kỹ thuật tấn công nguy hiểm nhất vì nó trao cho tin tặc khả năng chiếm quyền điều khiển hoàn toàn hệ thống.
Theo cảnh báo từ CISA, chỉ cần có quyền đăng nhập vào giao diện quản trị hoặc API của FortiWeb, kẻ tấn công có thể gửi yêu cầu HTTP được chế tác đặc biệt hoặc lệnh CLI để vượt qua các cơ chế bảo vệ và thực thi mã tùy ý. Cửa ngõ bị mở từ đó, hệ thống FortiWeb có thể bị kiểm soát hoàn toàn. Điều khiến vụ việc trở nên cấp bách là CISA xác nhận lỗ hổng đang bị khai thác trong các cuộc tấn công thực tế, buộc nó được đưa vào danh sách lỗ hổng bắt buộc phải xử lý ngay.
FortiWeb không chỉ là một thiết bị bảo mật đơn lẻ, nó đóng vai trò quản lý, giám sát và bảo vệ các ứng dụng web. Một khi WAF bị xâm nhập, các hệ thống phía sau gần như “mở cửa” cho tin tặc:
FortiWeb bị chiếm quyền → tin tặc quan sát, chỉnh sửa hoặc bỏ qua các luật bảo vệ → xâm nhập sâu vào hệ thống máy chủ, API, cơ sở dữ liệu…
Hơn thế, FortiWeb được triển khai tại hàng nghìn tổ chức toàn cầu, từ doanh nghiệp thương mại điện tử cho tới cơ quan nhà nước, khiến phạm vi ảnh hưởng trở nên rộng lớn.
Nghiên cứu của CISA chỉ ra rằng kẻ tấn công có thể:
- Điều khiển toàn bộ thiết bị
- Chặn hoặc chỉnh sửa lưu lượng đi qua WAF
- Mở backdoor để duy trì truy cập
- Mở rộng tấn công sang các hệ thống nội bộ
- Chính phủ
- Tài chính - ngân hàng
- Y tế
- Giáo dục
- Thương mại điện tử
CISA nhấn mạnh rằng các tổ chức cần hành động ngay lập tức:
- Cập nhật bản vá từ Fortinet là bước bắt buộc.
- Giới hạn quyền truy cập giao diện quản trị (chỉ cho phép từ mạng nội bộ hoặc VPN).
- Theo dõi log hệ thống FortiWeb, đặc biệt là:
- lệnh CLI bất thường
- truy cập trái phép
- dấu hiệu thực thi lệnh lạ
- Tạm ngừng sử dụng với hệ thống chưa thể vá ngay và không còn biện pháp bảo vệ an toàn.
- Với triển khai cloud hoặc đơn vị liên bang, tuân thủ hướng dẫn BOD 22-01.
WhiteHat