Lỗ hổng SSO trên FortiGate cho phép tin tặc chiếm quyền tường lửa chỉ trong vài giây

WhiteHat Team

WhiteHat Team

Administrators
Thành viên BQT
09/04/2020
124
1.525 bài viết
Lỗ hổng SSO trên FortiGate cho phép tin tặc chiếm quyền tường lửa chỉ trong vài giây
WhiteHat Team
Một làn sóng tấn công mới nhắm vào các thiết bị tường lửa Fortinet FortiGate đang khiến cộng đồng an ninh mạng toàn cầu đặc biệt lo ngại. Theo cảnh báo mới nhất, tin tặc đang triển khai một cụm hoạt động độc hại tự động, có khả năng xâm nhập trái phép, thay đổi cấu hình tường lửa, tạo tài khoản quản trị ẩn và đánh cắp toàn bộ cấu hình hệ thống, ngay cả trên các thiết bị đã được vá lỗi. Điều đáng chú ý là mọi thao tác xâm nhập và chiếm quyền kiểm soát chỉ diễn ra trong vài giây, cho thấy mức độ tinh vi và nguy hiểm của chiến dịch này.
1769142618266.png

Chiến dịch có nhiều điểm tương đồng với một đợt tấn công từng xảy ra vào tháng 12/2025, khi tin tặc lợi dụng các lỗ hổng chưa được xử lý triệt để trong cơ chế SSO để đăng nhập trái phép vào tài khoản quản trị trên thiết bị FortiGate.​

Đây là lỗ hổng gì, ảnh hưởng đến những hệ thống nào?​

Các cuộc tấn công liên quan trực tiếp đến hai lỗ hổng:​
  • CVE-2025-59718​
  • CVE-2025-59719​
Hai lỗ hổng này cho phép bỏ qua xác thực đăng nhập SSO mà không cần xác thực, thông qua việc gửi các thông điệp SAML được tạo thủ công, với điều kiện tính năng FortiCloud SSO đang được bật.

Phạm vi ảnh hưởng không chỉ giới hạn ở FortiGate mà còn tác động tới nhiều sản phẩm quan trọng khác trong hệ sinh thái Fortinet, bao gồm:​
  • FortiOS​
  • FortiWeb​
  • FortiProxy​
  • FortiSwitchManager​
Theo phản ánh của người dùng trên Reddit, ngay cả các thiết bị đã cập nhật FortiOS 7.4.10 vẫn ghi nhận đăng nhập SSO độc hại, làm dấy lên nghi vấn rằng bản vá hiện tại chưa khắc phục triệt để vấn đề.​

Cơ chế khai thác diễn ra như thế nào?​

Theo phân tích của Arctic Wolf, tin tặc triển khai một chuỗi hành động gần như hoàn toàn tự động:

Đầu tiên, kẻ tấn công thực hiện đăng nhập SSO trái phép vào thiết bị FortiGate bằng một tài khoản độc hại có tên “[email protected]”, đến từ nhiều địa chỉ IP khác nhau.

Ngay sau khi đăng nhập thành công, chúng:​
  • Tạo ra các tài khoản quản trị mang tên phổ biến như “secadmin”, “itadmin”, “support”, “backup”, “remoteadmin”, “audit” nhằm duy trì quyền truy cập lâu dài.​
  • Thay đổi cấu hình hệ thống để cấp quyền VPN cho các tài khoản này.​
  • Xuất toàn bộ file cấu hình tường lửa thông qua giao diện quản trị (GUI) và gửi về máy chủ của tin tặc.​
Toàn bộ chuỗi hành vi trên diễn ra chỉ trong vài giây, cho thấy đây là một kịch bản tấn công được tự động hóa cao, gần như không cho quản trị viên cơ hội phát hiện kịp thời.

Các địa chỉ IP nguồn được ghi nhận bao gồm:​
  • 104.28.244[.]115​
  • 104.28.212[.]114​
  • 217.119.139[.]50​
  • 37.1.209[.]19​

Vì sao lỗ hổng này đặc biệt nguy hiểm?​

Điểm nguy hiểm nhất của chiến dịch này nằm ở chỗ:​
  • Tin tặc không cần tên đăng nhập hay mật khẩu hợp lệ​
  • Không cần cài mã độc phức tạp​
  • Không cần khai thác lỗ hổng RCE truyền thống​
Chỉ cần FortiCloud SSO được bật, chúng có thể đăng nhập thẳng vào hệ thống quản trị, chiếm toàn quyền kiểm soát tường lửa. Khi đã có cấu hình firewall trong tay, kẻ tấn công có thể:​
  • Hiểu rõ toàn bộ sơ đồ mạng nội bộ​
  • Biết chính xác các VPN, rule truy cập, IP nội bộ​
  • Chuẩn bị cho các cuộc tấn công sâu hơn như đánh cắp dữ liệu, cài backdoor hoặc tấn công ransomware trong giai đoạn tiếp theo​

Người dùng và doanh nghiệp có thể chịu ảnh hưởng như thế nào?​

Nếu bị khai thác thành công, hậu quả có thể rất nghiêm trọng:​
  • Mất hoàn toàn quyền kiểm soát thiết bị tường lửa​
  • Rò rỉ cấu trúc mạng nội bộ và chính sách bảo mật​
  • Tin tặc duy trì truy cập lâu dài mà không bị phát hiện​
  • Toàn bộ hệ thống phía sau firewall có nguy cơ bị xâm nhập dây chuyền​
Đặc biệt, các doanh nghiệp, tổ chức lớn, cơ quan nhà nước sử dụng FortiGate để bảo vệ hạ tầng trọng yếu là mục tiêu có giá trị cao.​

Cần làm gì để phòng tránh và giảm thiểu rủi ro?​

Trong khi Fortinet chưa đưa ra phản hồi chính thức về việc lỗ hổng có thực sự được vá hoàn toàn hay chưa, các chuyên gia an ninh mạng khuyến nghị:​
  • Tạm thời vô hiệu hóa tính năng FortiCloud SSO, đặc biệt là tùy chọn admin-forticloud-sso-login nếu không thực sự cần thiết.​
  • Rà soát lại toàn bộ tài khoản quản trị, phát hiện và xóa ngay các tài khoản lạ hoặc đáng ngờ.​
  • Kiểm tra lịch sử đăng nhập, đặc biệt là các phiên đăng nhập SSO trong thời gian ngắn bất thường.​
  • Theo dõi lưu lượng và các hành vi xuất cấu hình firewall trái phép.​
  • Thường xuyên cập nhật firmware và theo dõi thông báo bảo mật chính thức từ Fortinet.​
Trong bối cảnh tin tặc ngày càng tự động hóa và tinh vi, các doanh nghiệp không thể chỉ “vá là xong” mà cần giám sát liên tục, giảm thiểu bề mặt tấn công và thận trọng với các tính năng kết nối đám mây. Đây không chỉ là bài học riêng cho Fortinet mà là hồi chuông cảnh tỉnh cho toàn bộ hệ sinh thái an ninh mạng hiện đại.​
WhiteHat
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Bạn phải đăng nhập hoặc đăng ký để phản hồi tại đây.
Bài viết liên quan
  • Lỗ hổng SmarterMail bị khai thác chỉ sau hai ngày phát hành bản vá
  • Lỗ hổng zero-day nghiêm trọng ảnh hưởng đến hệ thống liên lạc doanh nghiệp của Cisco
  • Căng cực: Zoom và GitLab vá lỗi nghiêm trọng có nguy cơ chiếm quyền và làm sập hệ thống
  • Botnet và trojan quốc tế bùng phát, hạ tầng tại Việt Nam bị lợi dụng
  • Lỗ hổng ACF Extended cho phép chiếm quyền 100.000 website WordPress
  • Camera TP-Link VIGI dính lỗi nghiêm trọng khiến tin tặc có thể tự đổi mật khẩu
    • Thẻ
    cve-2025-59718 cve-2025-59719 forticloud fortigate fortinet
    Bên trên