Lỗ hổng nghiêm trọng trong FortiClientEMS cho phép tấn công thực thi mã từ xa

WhiteHat Team

WhiteHat Team

Administrators
Thành viên BQT
09/04/2020
125
1.585 bài viết
Lỗ hổng nghiêm trọng trong FortiClientEMS cho phép tấn công thực thi mã từ xa
WhiteHat Team
Một lỗ hổng nghiêm trọng cao vừa được Fortinet công bố trong FortiClientEMS, hệ thống đóng vai trò trung tâm trong quản lý bảo mật endpoint của nhiều doanh nghiệp. Nếu không được vá kịp thời, lỗ hổng có thể mở đường cho các cuộc tấn công từ xa, cho phép kẻ xấu chiếm quyền kiểm soát máy chủ mà không cần thông tin đăng nhập.

fotinet.png

Lỗ hổng mang mã CVE-2026-21643, đạt điểm CVSSv3 9.1, cho phép kẻ tấn công từ xa, không cần xác thực, thực thi mã tùy ý hoặc gửi các lệnh trái phép thông qua các yêu cầu HTTP nhắm vào hệ thống. Theo Fortinet, nguyên nhân xuất phát từ lỗi SQL Injection trong thành phần giao diện quản trị đồ họa của FortiClientEMS, do cơ chế kiểm soát và làm sạch dữ liệu đầu vào không đầy đủ.
Thông qua việc gửi các yêu cầu HTTP được thiết kế đặc biệt tới giao diện EMS, kẻ tấn công có thể thao túng các truy vấn cơ sở dữ liệu và can thiệp vào luồng xử lý của hệ thống. Điều này dẫn đến khả năng vượt qua cơ chế xác thực, từ đó giành quyền truy cập trái phép và kiểm soát máy chủ quản lý endpoint chỉ từ một điểm tấn công bên ngoài.

Mức độ rủi ro của lỗ hổng được đánh giá đặc biệt nghiêm trọng trong môi trường doanh nghiệp, nơi FortiClientEMS đóng vai trò trung tâm trong việc triển khai chính sách bảo mật, quản lý antivirus và giám sát tuân thủ trên diện rộng. Nếu bị khai thác thành công, hệ thống EMS có thể trở thành bàn đạp cho các hoạt động xâm nhập sâu hơn, di chuyển ngang trong mạng nội bộ hoặc phát tán mã độc tống tiền.

Theo khuyến cáo, CVE-2026-21643 ảnh hưởng đến FortiClientEMS phiên bản 7.4.4. Các nhánh 7.2 và 8.0 không bị ảnh hưởng, đồng thời Fortinet cũng xác nhận rằng các hệ thống FortiEMS Cloud không nằm trong phạm vi tác động.

Tại thời điểm công bố, hãng cho biết chưa ghi nhận dấu hiệu bị khai thác trong thực tế. Tuy nhiên, với điểm số nghiêm trọng cao và yêu cầu khai thác đơn giản, các chuyên gia cảnh báo nguy cơ tin tặc nhanh chóng phân tích bản vá để phát triển mã khai thác.

Trước rủi ro từ CVE-2026-21643, Fortinet khuyến nghị các tổ chức và quản trị viên hệ thống cần khẩn trương triển khai các biện pháp giảm thiểu sau:​
  • Rà soát toàn bộ hệ thống để xác định các máy chủ đang vận hành FortiClientEMS phiên bản 7.4.4.​
  • Lên kế hoạch nâng cấp lên FortiClientEMS 7.4.5 hoặc cao hơn trong các khung giờ thấp điểm nhằm hạn chế gián đoạn dịch vụ.​
  • Kiểm tra nhật ký hệ thống để phát hiện các truy cập hoặc yêu cầu HTTP bất thường nhắm vào giao diện quản trị EMS, đây có thể là dấu hiệu của các hoạt động dò quét hoặc khai thác lỗ hổng.​
  • Hạn chế tối đa việc công khai giao diện quản trị EMS ra Internet, đồng thời sử dụng tường lửa và các cơ chế kiểm soát truy cập để ngăn chặn truy cập trái phép trong thời gian chờ triển khai bản vá.​
Tổng hợp
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Bạn phải đăng nhập hoặc đăng ký để phản hồi tại đây.
Bài viết liên quan
  • Lộ diện nhóm gián điệp mạng châu Á tấn công 70 cơ quan chính phủ toàn cầu
  • Go vá gấp hai lỗ hổng nghiêm trọng cho phép chèn mã và bỏ qua xác thực TLS
  • Cisco và F5 vá loạt lỗ hổng nghiêm trọng: Nguy cơ sập hệ thống, mất quyền kiểm soát
  • CISA cảnh báo lỗ hổng SSRF trên GitLab đang bị khai thác, đe dọa an ninh CI/CD
  • Lỗ hổng zero-day VMware ESXi bị tin tặc khai thác trong các cuộc tấn công ransomware
  • Lỗ hổng trên SolarWinds nguy hiểm đến mức bị yêu cầu vá trong 3 ngày
    • Thẻ
    cve-2026-21643 fortiems fotinet
    Bên trên