Cảnh báo khẩn: Hacker đang khai thác lỗ hổng Fortinet để chiếm quyền quản trị
Một chiến dịch tấn công diễn ra chỉ vài ngày sau khi lỗ hổng được công bố, đẩy hàng loạt hệ thống vào tình trạng rủi ro và chiếm quyền Fortinet
Tổng quan
Ngày 16 Tháng 12 2025 một chiến dịch tấn công mới đang âm thầm nhắm vào các thiết bị Fortinet FortiGate, khai thác trực tiếp các lỗ hổng xác thực SSO nghiêm trọng vừa được công bố. Điều đáng lo ngại là các hoạt động khai thác đã xuất hiện ngoài thực tế (in-the-wild) chỉ trong thời gian rất ngắn sau khi thông tin lỗ hổng được tiết lộ, cho thấy mức độ sẵn sàng và khả năng vũ khí hóa nhanh chóng của các nhóm tấn công.
Thay vì sử dụng các kỹ thuật xâm nhập phức tạp, kẻ tấn công tập trung vào việc bypass cơ chế xác thực Single Sign-On (SSO) – một tính năng vốn được thiết kế để tăng tính tiện lợi cho quản trị viên. Bằng cách lợi dụng sai sót trong quá trình xử lý SAML, chúng có thể vượt qua bước đăng nhập hợp lệ, truy cập trực tiếp vào giao diện quản trị FortiGate và thực hiện các hành vi nguy hiểm như xuất toàn bộ cấu hình thiết bị.
Bài phân tích này sẽ đi sâu làm rõ bản chất lỗ hổng, cách thức khai thác ngoài thực tế, tác động tiềm ẩn đối với tổ chức, đồng thời đưa ra các khuyến nghị ứng phó thực tiễn nhằm giúp đội ngũ IT và SOC giảm thiểu rủi ro trong thời điểm nhạy cảm này.
Đánh giá mức độ nghiêm trọng
Hai lỗ hổng đang được những kẻ tấn công khai thác tích cực trong chiến dịch lần này được gán mã định danh lần lượt là: CVE-2025-59718 và CVE-2025-59719.
CVE-2025-59718
CVE-2025-59718 là một lỗ hổng rất nghiêm trọng thuộc nhóm bypass xác thực (authentication bypass) với điểm đánh giá như sau:
NIST: NVD Base Score: N/A .
CNA: Patchstack Base Score: 9.8 - CRITICAL Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H.
CVE-2025-59719
CVE-2025-59719 là một lỗ hổng xác thực vượt qua (authentication bypass) mức độ Critical ảnh hưởng đến các phiên bản FortiWeb khi tính năng FortiCloud SSO (Single Sign-On) với điểm đánh giá như sau:
NIST: NVD Base Score: N/A .
CNA: Patchstack Base Score: 9.8 - CRITICAL Vector: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H.
Phạm vi ảnh hưởng
Chiến dịch khai thác các lỗ hổng CVE-2025-59718 và CVE-2025-59719 có phạm vi ảnh hưởng rộng và nguy hiểm, nhắm vào nhiều sản phẩm chủ lực của Fortinet, bao gồm:
FortiGate – tường lửa và gateway mạng, thường đóng vai trò tuyến phòng thủ đầu tiên.
FortiProxy – thiết bị proxy bảo mật.
FortiSwitchManager – nền tảng quản lý switch.
FortiWeb – Web Application Firewall (WAF).
Nhóm lỗ hổng CVE-2025-59718
FortiOS (FortiGate)
7.0.x: từ 7.0.0 → 7.0.17
7.2.x: từ 7.2.0 → 7.2.11
7.4.x: từ 7.4.0 → 7.4.8
7.6.x: từ 7.6.0 → 7.6.3
FortiProxy
7.0.x → 7.0.17
7.2.x → 7.2.11
7.4.x → 7.4.8
7.6.x → 7.6.3
FortiSwitchManager
7.0.x → 7.0.6
7.2.x → 7.2.6
Nhóm lỗ hổng CVE-2025-59719
FortiWeb
8.0.0
7.6.x: từ 7.6.0 → 7.6.4
7.4.x: từ 7.4.0 → 7.4.9
Nguyên nhân lỗ hổng
Nguyên nhân cốt lõi của các lỗ hổng CVE-2025-59718 và CVE-2025-59719 xuất phát từ lỗi logic trong cơ chế xác thực FortiCloud SSO, cụ thể là quá trình xử lý và xác minh thông điệp SAML (Security Assertion Markup Language).
Xác minh chữ ký SAML không đầy đủ (Root Cause)
Đây có thể xem là nguyên nhân cốt lõi của chiến dịch lần này, với việc các sản phẩm Fortinet bị ảnh hưởng đã không kiểm tra đúng hoặc không kiểm tra đầy đủ chữ ký số (cryptographic signature) của SAML response do FortiCloud SSO cung cấp. Điều này vô tình dẫn đến:
Thiết bị tin tưởng sai nguồn xác thực
Chấp nhận SAML response giả mạo do kẻ tấn công tự tạo
Cho phép hoàn tất quy trình đăng nhập mà không cần thông tin xác thực hợp lệ
Kịch bản khai thác
Để có thể hình dung rõ hơn thì chúng ta sẽ cùng đi qua một kịch bản khai thác chuỗi các lỗ hổng này. Chiến dịch tấn công lợi dụng lỗ hổng bypass xác thực trong FortiCloud SSO được triển khai theo mô hình tấn công trực tiếp – không cần xác thực – tập trung vào thiết bị edge.
Đầu tiên kẻ tấn công sẽ thực hiện quét Internet để tìm ra thiết bị FortiGate / FortiWeb / FortiProxy exposed ra Internet cũng như cổng quản trị (HTTPS/SSL VPN). Từ đó chúng sẽ thu thập dữ liệu như:
Phiên bản FortiOS/FortiWeb
Dấu hiệu FortiCloud SSO đang bật
Sau khi đã xác định được mục tiêu phù hợp, Attacker sẽ tạo SAML Response giả mạo, trong đó:
Tự chỉ định danh tính người dùng (ví dụ: admin)
Chèn các thuộc tính hợp lệ về mặt định dạng
Ngay từ đầu như đã phân tích thì thiết bị không xác minh đầy đủ chữ ký SAML và không kiểm tra đúng issuer/audience. Chính điều này vô tình đã cho phép kẻ tấn công bypass xác thực một cách dễ dàng.
Kẻ tấn công sẽ gửi SAML response giả mạo (được chuẩn bị sẵn bên trên) đến endpoint SSO của thiết bị Fortinet. Tại đây thiết bị tồn tại lỗ hổng tin rằng yêu cầu đến từ FortiCloud hợp lệ và hoàn tất quá trình đăng nhập không cần mật khẩu. Và đương nhiên kết quả là Attacker có Initial Access với quyền quản trị
Sau khi đã có được quyền truy cập GUI hoặc API quản trị, kẻ tấn công sẽ thực hiện export full configuration và thu thập một số dữ liệu quan trọng:
User accounts & password hash
VPN credentials
Firewall rules, routing
Network topology
Khi đã có thể nằm trong hệ thống kẻ tấn công tiếp tục quá trình duy trì quyền truy cập bằng cách tạo một tài khoản Admin ẩn. Bên cạnh đó chúng sẽ thực hiện cài Backdoor, cài policy cho phép truy cập từ IP attacker và VPN tunnel trái phép.
Cuối cùng kẻ tấn công sẽ sử dụng các thông tin cấu hình bên trên để:
Truy cập VPN nội bộ
Tấn công các máy chủ backend
Tất cả các điều này đã vô hình biến thiết bị Fortinet thành bàn đạp (pivot point) cho APT. Đương nhiên khi đã thực hiện xong kẻ tấn công sẽ xóa hoặc làm nhiễu log để né tránh các chuyên gia phân tích. Chờ thời điểm thích hợp để tái khai thác nếu như hệ thống vẫn không cập nhật các bản vá.
Khuyến nghị
Cập nhật bản vá NGAY LẬP TỨC (Ưu tiên cao nhất)
Nâng cấp thiết bị Fortinet lên phiên bản đã được vá chính thức do Fortinet phát hành.
Không trì hoãn việc cập nhật chỉ vì lý do “hệ thống đang ổn định” – các chiến dịch hiện tại cho thấy hacker không cần mật khẩu để xâm nhập.
Với môi trường sản xuất lớn:
Ưu tiên vá thiết bị Internet-facing
Thực hiện theo thứ tự: FortiGate → FortiWeb → FortiProxy
Link tham khảo cập nhật: PSIRT | FortiGuard Labs
Vô hiệu hóa FortiCloud SSO nếu chưa vá
Tắt FortiCloud SSO trên tất cả thiết bị Fortinet nếu:
Không sử dụng thường xuyên
Hoặc chưa thể nâng cấp kịp thời
Kiểm tra kỹ vì FortiCloud SSO:
Có thể đang bật ngầm sau khi đăng ký FortiCare
Nhiều admin không chủ động kích hoạt nhưng vẫn bị ảnh hưởng
Hạn chế tối đa quyền truy cập giao diện quản trị
Không expose giao diện quản trị Fortinet trực tiếp ra Internet
Áp dụng các biện pháp:
Chỉ cho phép truy cập từ IP whitelist
Truy cập quản trị qua VPN hoặc Bastion Host
Sử dụng MFA cho mọi tài khoản quản trị
Thay đổi toàn bộ thông tin xác thực liên quan
Trong trường hợp thiết bị có khả năng đã bị xâm nhập:
Thay đổi:
Mật khẩu admin Fortinet
Tài khoản VPN
API keys, token tích hợp
Kết luận
Chiến dịch khai thác các lỗ hổng CVE-2025-59718 và CVE-2025-59719 một lần nữa cho thấy thực tế đáng lo ngại: thiết bị mạng và tường lửa – vốn được xem là lớp phòng thủ cuối cùng những lại đang trở thành mục tiêu tấn công ưu tiên của hacker. Khi cơ chế xác thực cốt lõi như SSO bị bypass, mọi lớp bảo vệ phía sau gần như mất ý nghĩa.
Điểm nguy hiểm của chiến dịch này không chỉ nằm ở mức độ nghiêm trọng của lỗ hổng, mà còn ở việc khai thác diễn ra nhanh, âm thầm và không cần xác thực. Nhiều tổ chức có thể đã bị xâm nhập mà chưa hề phát hiện, trong khi thiết bị Fortinet vẫn hoạt động “bình thường” trên bề mặt.
Sự cố này cũng phản ánh một xu hướng rõ rệt trong bức tranh đe dọa hiện nay: hacker đang dịch chuyển trọng tâm sang các thiết bị edge và hạ tầng mạng, nơi chỉ một điểm bị chiếm quyền có thể mở ra toàn bộ hệ thống phía sau. Các tính năng tiện lợi như FortiCloud SSO, nếu không được quản lý và cập nhật kịp thời, có thể nhanh chóng trở thành điểm yếu chí mạng.
