-
09/04/2020
-
128
-
1.673 bài viết
Hacker lợi dụng lỗ hổng FortiGate Firewall để xâm nhập mạng nội bộ và đánh cắp dữ liệu
Các nhà nghiên cứu an ninh mạng vừa phát hiện một chiến dịch tấn công mới trong đó tin tặc lợi dụng các thiết bị tường lửa FortiGate làm điểm xâm nhập ban đầu để tấn công sâu vào hạ tầng của tổ chức. Việc khai thác thành công thiết bị tường lửa có thể cho phép kẻ tấn công truy cập dữ liệu nhạy cảm, thu thập thông tin hệ thống và mở rộng quyền kiểm soát trong toàn bộ mạng nội bộ.
FortiGate là dòng Next-Generation Firewall (NGFW) do Fortinet phát triển, được sử dụng rộng rãi để giám sát và kiểm soát lưu lượng mạng trong các tổ chức. Ngoài chức năng tường lửa truyền thống, thiết bị còn tích hợp nhiều cơ chế bảo mật nâng cao như kiểm soát truy cập, phân tích lưu lượng và kết nối với hệ thống xác thực người dùng.
Trong nhiều môi trường doanh nghiệp, FortiGate được cấu hình kết nối trực tiếp với các hệ thống quản lý danh tính như Active Directory (AD) hoặc LDAP để xác thực người dùng và áp dụng các chính sách bảo mật theo vai trò. Điều này giúp thiết bị có thể xác định người dùng nào đang truy cập vào hệ thống và áp dụng quy tắc bảo mật phù hợp.
Tuy nhiên, chính mức độ truy cập sâu vào hạ tầng mạng này cũng khiến FortiGate trở thành mục tiêu có giá trị cao đối với tin tặc. Nếu thiết bị bị xâm nhập, kẻ tấn công có thể nắm trong tay thông tin cấu trúc mạng, tài khoản dịch vụ và nhiều dữ liệu quan trọng khác.
Các lỗ hổng bảo mật bị khai thác
Chiến dịch tấn công hiện nay khai thác nhiều lỗ hổng đã được công bố trên FortiGate, bao gồm:
- CVE-2025-59718
- CVE-2025-59719
- CVE-2026-24858
Ngoài việc khai thác lỗ hổng phần mềm, tin tặc cũng tận dụng cấu hình sai hoặc mật khẩu yếu để truy cập vào thiết bị. Khi xâm nhập thành công, mục tiêu chính của kẻ tấn công là tải xuống các tệp cấu hình của thiết bị, nơi chứa nhiều thông tin nhạy cảm như:
- Tài khoản dịch vụ
- Thông tin xác thực LDAP
- Cấu trúc mạng nội bộ
- Các quy tắc tường lửa
Những dữ liệu này giúp tin tặc hiểu rõ cách hệ thống được thiết kế và mở đường cho các bước tấn công tiếp theo.
Quá trình tấn công: Từ tường lửa đến mạng nội bộ
Trong một sự cố được ghi nhận vào tháng 11/2025, tin tặc đã xâm nhập vào một thiết bị FortiGate và tạo một tài khoản quản trị mới có tên “support”.
Sau khi chiếm quyền quản trị, kẻ tấn công thiết lập thêm bốn chính sách tường lửa mới, cho phép tài khoản này di chuyển qua mọi vùng mạng mà không bị hạn chế. Điều này giúp chúng duy trì quyền truy cập vào thiết bị trong thời gian dài.
Các nhà nghiên cứu cho rằng hành vi này giống với chiến thuật của Initial Access Broker (những nhóm chuyên tìm cách xâm nhập ban đầu vào hệ thống rồi bán quyền truy cập đó cho các nhóm tội phạm mạng khác).
Đến tháng 02/2026, tin tặc tiếp tục khai thác thiết bị để trích xuất tệp cấu hình, trong đó có chứa thông tin đăng nhập của tài khoản dịch vụ LDAP. Sau khi giải mã tệp cấu hình, chúng đã sử dụng thông tin này để đăng nhập vào AD của tổ chức.
Từ đây, kẻ tấn công có thể:
Sau khi chiếm quyền quản trị, kẻ tấn công thiết lập thêm bốn chính sách tường lửa mới, cho phép tài khoản này di chuyển qua mọi vùng mạng mà không bị hạn chế. Điều này giúp chúng duy trì quyền truy cập vào thiết bị trong thời gian dài.
Các nhà nghiên cứu cho rằng hành vi này giống với chiến thuật của Initial Access Broker (những nhóm chuyên tìm cách xâm nhập ban đầu vào hệ thống rồi bán quyền truy cập đó cho các nhóm tội phạm mạng khác).
Đến tháng 02/2026, tin tặc tiếp tục khai thác thiết bị để trích xuất tệp cấu hình, trong đó có chứa thông tin đăng nhập của tài khoản dịch vụ LDAP. Sau khi giải mã tệp cấu hình, chúng đã sử dụng thông tin này để đăng nhập vào AD của tổ chức.
Từ đây, kẻ tấn công có thể:
- Đăng ký các máy tính giả vào hệ thống AD
- Mở rộng quyền truy cập trong mạng
- Quét hệ thống để tìm mục tiêu mới
Hoạt động quét mạng sau đó đã bị phát hiện và đội ngũ bảo mật đã kịp thời ngăn chặn việc di chuyển ngang sâu hơn trong hệ thống.
Triển khai phần mềm điều khiển từ xa và đánh cắp dữ liệu
Trong một sự cố khác xảy ra vào đầu năm 2026, sau khi truy cập vào thiết bị tường lửa, tin tặc nhanh chóng triển khai các công cụ điều khiển từ xa như Pulseway và MeshAgent để duy trì quyền truy cập.
Kẻ tấn công cũng sử dụng PowerShell để tải xuống mã độc từ một kho lưu trữ đám mây trên hạ tầng Amazon Web Services. Loại mã độc này được viết bằng Java và được thực thi thông qua kỹ thuật DLL side-loading, một phương pháp phổ biến để chạy mã độc mà không bị phát hiện.
Mục tiêu của phần mềm độc hại là đánh cắp dữ liệu từ:
Kẻ tấn công cũng sử dụng PowerShell để tải xuống mã độc từ một kho lưu trữ đám mây trên hạ tầng Amazon Web Services. Loại mã độc này được viết bằng Java và được thực thi thông qua kỹ thuật DLL side-loading, một phương pháp phổ biến để chạy mã độc mà không bị phát hiện.
Mục tiêu của phần mềm độc hại là đánh cắp dữ liệu từ:
- Tệp "NTDS.dit" (cơ sở dữ liệu chứa thông tin tài khoản AD)
- SYSTEM registry hive của Windows
Dữ liệu sau đó được gửi ra ngoài tới một máy chủ từ xa thông qua kết nối HTTPS.
Các nhà nghiên cứu cho biết tin tặc có thể đã cố gắng bẻ khóa mật khẩu từ dữ liệu đánh cắp, tuy nhiên chưa ghi nhận việc các thông tin này bị sử dụng trước khi sự cố được ngăn chặn.
Các nhà nghiên cứu cho biết tin tặc có thể đã cố gắng bẻ khóa mật khẩu từ dữ liệu đánh cắp, tuy nhiên chưa ghi nhận việc các thông tin này bị sử dụng trước khi sự cố được ngăn chặn.
Rủi ro và mức độ nguy hiểm
Việc tấn công vào FortiGate đặc biệt nguy hiểm vì thiết bị này nằm ở trung tâm của hạ tầng mạng. Khi bị kiểm soát, tin tặc có thể:
- Thu thập thông tin cấu trúc mạng
- Đánh cắp thông tin đăng nhập hệ thống
- Triển khai phần mềm độc hại trong mạng nội bộ
- Mở rộng quyền truy cập sang các máy chủ khác
Các thiết bị NGFW như FortiGate ngày càng phổ biến trong doanh nghiệp vì chúng tích hợp nhiều chức năng bảo mật nâng cao. Tuy nhiên, chính điều này cũng khiến chúng trở thành mục tiêu hấp dẫn đối với nhiều nhóm tấn công, từ gián điệp mạng cho đến các chiến dịch tấn công ransomware.
Khuyến nghị bảo mật từ các chuyên gia
Trước nguy cơ từ chiến dịch tấn công này, các chuyên gia an ninh mạng khuyến nghị các tổ chức cần nhanh chóng rà soát hệ thống và thực hiện các biện pháp phòng vệ:
- Cập nhật firmware FortiGate lên phiên bản mới nhất để vá các lỗ hổng đã công bố
- Kiểm tra và thay đổi mật khẩu quản trị nếu nghi ngờ bị truy cập trái phép
- Rà soát các tài khoản quản trị mới hoặc bất thường trên thiết bị
- Kiểm tra các chính sách firewall để phát hiện cấu hình lạ
- Giám sát log để phát hiện truy cập trái phép vào tệp cấu hình
- Hạn chế truy cập quản trị từ internet và chỉ cho phép truy cập từ mạng nội bộ hoặc VPN
Ngoài ra, các tổ chức nên triển khai hệ thống giám sát bảo mật để phát hiện sớm các dấu hiệu như quét mạng, đăng ký máy tính lạ vào AD hoặc tải xuống dữ liệu bất thường. Việc cập nhật bản vá, giám sát thiết bị mạng và kiểm tra cấu hình bảo mật thường xuyên là yếu tố then chốt để bảo vệ hạ tầng CNTT. Trong bối cảnh các cuộc tấn công mạng ngày càng tinh vi, chỉ một thiết bị bị bỏ quên cập nhật cũng có thể trở thành cánh cửa để tin tặc xâm nhập toàn bộ hệ thống.
Theo The Hacker News