Khi WAF trở thành backdoor: Bên trong chiến dịch FortiWeb bị chiếm quyền bởi Sliver C2
Từ thiết bị WAF đến C2 relay: Một chiến dịch tấn công tinh vi vừa được phát hiện trên các hệ thống FortiWeb nhằm duy trì quyền kiểm soát lâu dài.
Tổng quan
Từ lâu trong kiến trúc về bảo mật thì FortiWeb Web Application Firewall (WAF) được xem như là một lớp phòng thủ tuyến đầu. Tại đây WAF chịu trách nhiệm bảo vệ ngăn chặn các cuộc tấn công dò quét từ bên ngoài vào các ứng dụng Web, tuy nhiên một chiến dịch gần đây nhắm thẳng vào lớp phòng thủ này đã cho thấy ranh giới giữa phòng thủ và tấn công chưa bao giờ gần nhau đến vậy.
Gần đây các nhà nghiên cứu đã phát hiện ra một chiến dịch xâm nhập âm thầm, trong đó kẻ tấn công đã lợi dụng các thiết bị FortiWeb lỗi thời để triển khai Sliver C2, một framework hậu khai thác mạnh mẽ thường được sử dụng trong các hoạt động APT và red-team. Thay vì chỉ chiếm quyền truy cập tạm thời, kẻ tấn công biến FortiWeb thành hạ tầng điều khiển lâu dài, đóng vai trò vừa là điểm bám trụ (persistence), vừa là cầu nối proxy vào mạng nội bộ cũng như bàn đạp cho các cuộc tấn công chuyên sâu tiếp theo.
Đôi nét về Sliver C2
Sliver là một Command-and-Control (C2) framework mã nguồn mở, được phát triển ban đầu để phục vụ các hoạt động red team và adversary simulation, nhưng trong những năm gần đây đã được các nhóm đe dọa ngoài đời thực (in-the-wild) sử dụng rộng rãi trong các chiến dịch xâm nhập tinh vi.
Không giống nhiều C2 truyền thống, Sliver được thiết kế theo kiến trúc client-server hiện đại, hỗ trợ đa nền tảng (Linux, Windows, macOS) và cho phép triển khai implant (beacon) với mức độ tùy biến cao.
Một trong những đặc điểm nổi bật của Sliver là khả năng ẩn mình và linh hoạt trong giao tiếp C2. Framework này hỗ trợ nhiều giao thức như mTLS, HTTPS, DNS, WireGuard, giúp lưu lượng điều khiển khó bị phân biệt với traffic hợp lệ. Sliver cũng cho phép cấu hình sleep interval, jitter, và domain fronting, nhằm giảm thiểu khả năng bị phát hiện bởi các hệ thống giám sát mạng.
Phiên bản ảnh hưởng
Chiến dịch này chủ yếu nhắm vào các thiết bị FortiWeb đang chạy firmware cũ, không còn được cập nhật đầy đủ. Các phiên bản bị ghi nhận bao gồm:
- FortiWeb 5.4.202 đến FortiWeb 6.1.62
Bối cảnh ban đầu
Từ quá trình phân tích ban đầu các chuyên gia An ninh mạng đã ghi nhận kẻ tấn công có thể đã sử dụng nhiều lỗ hổng công khai và chưa được vá để xâm nhập. Đặc biệt trong đó có React2Shell (CVE-2025-55182) - một công cụ khai thác shell được dùng làm bước đầu lây nhiễm.
Mặc dù chưa xác định được chính xác lỗ hổng FortiWeb nào đã bị khai thác trực tiếp nhưng điểm chung của tất cả thiết bị bị ảnh hưởng là đều chưa được vá trong thời gian dài, tồn tại nhiều lỗi bảo mật chưa được khắc phục.
Chi tiết chiến dịch
Để hiểu rõ hơn về tác động cũng như mức độ nguy hiểm của Siliver C2 tới chiến dịch lần này thì chúng ta sẽ cùng đi qua luồng thực hiện quá trình khai thác theo góc nhìn từ Threat Intelligence.
Với bất kể một cuộc tấn công mạng nào thì đều có giai đoạn trinh sát và lựa chọn mục tiêu cụ thể. Với giai đoạn này những kẻ tấn công sẽ thực hiện quét diện rộng (mass scanning) nhằm xác định các thiết bị FortiWeb:
FortiWeb được expose trực tiếp ra Internet.
Phiên bản firmware cũ, có dấu hiệu không được cập nhật.
Giao diện quản trị hoặc dịch vụ web phản hồi đặc trưng của FortiWeb.
Sau khi đã xác định mục tiêu, kẻ tấn công sẽ thực hiện khai thác lỗ hổng chưa được vá trên FortiWeb. Mặc dù hiện tại chưa có các bằng chứng rõ ràng về CVE được khai thác, nhưng khả năng cao kẻ tấn công sẽ lợi dụng n-day chưa được công bố rộng rãi hoặc chuỗi khai thác logic / misconfiguration. Với việc khai thác như trên kẻ tấn công mong muốn sẽ có được khả năng thực thi lệnh trên thiết bị bảo mật.
Sau khi đã có quyền kẻ tấn công sẽ thực hiện tải và triển khai Sliver Implant thông qua máy chủ C2:
ns1.ubunutpackages[.]store
ns1.bafairforce[.]army
Cả hai máy chủ C2 đều thuộc Autonomous System 62005, được che giấu sau các website giả mạo như trang “Ubuntu Packages” hoặc trang tuyển dụng của Không quân Bangladesh.
Để tránh bị phát hiện, file Sliver được đổi tên thành “system-updater”, đặt tại đường dẫn "/bin/.root/system-updater", giả dạng như một thành phần hệ thống hợp pháp. Nhiệm vụ của nó ở giai đoạn này là thu thập thông tin hệ thống cũng như thiết lập kết nối beacon về C2.
Sau đó Sliver implant tiến hành kết nối về máy chủ C2 thông qua:
HTTPS hoặc mTLS.
Beacon định kỳ với sleep + jitter.
Domain/IP được cấu hình để:
Trả về nội dung hợp pháp khi truy cập bằng browser.
Giảm khả năng bị phát hiện khi phân tích thủ công.
Khi này FortiWeb đã vô tình trở thành node được điều khiển từ xa trong hạ tầng Sliver, biến nó thành bàn đạp để thực hiện tiếp các bước tấn công ở giai đoạn sau.
Để có thể đảm bảo quyền duy trì truy cập lâu dài kẻ tấn công sẽ tạo service khởi động cùng hệ thống:
Thêm Sliver implant vào cấu hình supervisord.
Đảm bảo process được restart nếu bị kill.
Sau khi đã thiết lập được kênh C2 ổn định và cơ chế persistence trên FortiWeb, kẻ tấn công chuyển sang một giai đoạn mang tính chiến lược: biến thiết bị bảo mật này thành điểm trung chuyển (pivot point) để tiếp cận sâu hơn vào mạng nội bộ của tổ chức.
Tại đây chúng sẽ cài đặt một SOCKS proxy nhẹ (microsocks) trực tiếp trên FortiWeb, điểm đáng chú ý ở đây là:
Đổi tên process thành
cups-lpd.Chạy trên cổng 515 – cổng mặc định của dịch vụ in ấn CUPS.
Không tạo log rõ ràng.
Thông qua SOCKS proxy kẻ tấn công có thể dễ dàng truy cập: Web nội bộ, SSH/RDP hay đơn giản là API backend. Đây có thể xem là bước “mở cổng” vào mạng nội bộ mà không cần port-forward thủ công.
Bên cạnh SOCKS proxy, chiến dịch còn sử dụng Fast Reverse Proxy (FRP) để:
Tạo tunnel từ Internet → FortiWeb → hệ thống nội bộ.
Expose các dịch vụ nội bộ ra ngoài một cách có kiểm soát.
Tránh việc mở port trực tiếp trên firewall.
Trong khoảng thời gian từ 22/12 đến 30/12/2025, các nhà nghiên cứu ghi nhận đã có ít nhất 30 địa chỉ IP nạn nhân liên tục beacon về máy chủ Sliver, thuộc nhiều quốc gia như Bangladesh, Pakistan, Ấn Độ, Nam Phi và Mỹ.
Việc ngụy trang và che dấu vết của chiến dịch cũng rất tài tình khi mà kẻ tấn công đã cấu hình các dịch vụ systemd và supervisor độc hại, ngụy trang dưới tên gọi như “Updater Service” và “rootbinary”. Các dịch vụ này tự động khởi chạy Sliver mỗi khi hệ thống reboot hoặc khi tiến trình bị dừng, tương ứng với kỹ thuật MITRE ATT&CK T1543.002 - Create or Modify System Process.
Kết luận
Chiến dịch FortiWeb – Sliver C2 cho thấy một thực tế đáng lo ngại trong bối cảnh an ninh mạng hiện nay: thiết bị bảo mật không còn là “vùng an toàn mặc định”. Khi các appliance tuyến đầu như FortiWeb bị khai thác và kiểm soát, toàn bộ kiến trúc phòng thủ phía sau gần như bị đặt vào tình trạng rủi ro cao mà không cần tấn công trực diện vào endpoint hay máy chủ nội bộ.
Việc Sliver C2 được triển khai thành công trên FortiWeb không chỉ phản ánh mức độ linh hoạt và nguy hiểm của các framework hậu khai thác hiện đại, mà còn phơi bày những khoảng trống cố hữu trong cách các tổ chức quản lý thiết bị mạng: chậm vá lỗi, thiếu giám sát ở cấp hệ điều hành và đặt niềm tin tuyệt đối vào các thiết bị vốn được xem là “bảo mật sẵn có”.
Bài học rút ra là rõ ràng: bảo mật không chỉ nằm ở việc triển khai đúng công cụ, mà ở cách chúng được vận hành, cập nhật và giám sát liên tục. Nếu thiết bị bảo mật không được bảo vệ đúng cách, nó có thể nhanh chóng trở thành điểm yếu nguy hiểm nhất trong toàn bộ hệ thống.
Khuyến nghị
Kiểm tra và cập nhật FortiWeb ngay lập tức (Ưu tiên cao)
Xác định phiên bản firmware hiện tại của tất cả thiết bị FortiWeb trong hệ thống.
Nâng cấp lên phiên bản FortiWeb mới nhất được Fortinet hỗ trợ, ưu tiên các bản vá bảo mật gần đây.
Không duy trì các phiên bản:
Đã EOL (End-of-Life).
Không còn nhận bản vá bảo mật.
Giám sát lưu lượng mạng bất thường
Phân tích traffic outbound từ FortiWeb:
Kết nối HTTPS/DNS định kỳ ra Internet.
Domain không liên quan đến Fortinet.
Block và monitor:
- Các domain/IP C2 đã biết liên quan đến Sliver.
Thiết lập egress filtering:
- FortiWeb chỉ được phép kết nối tới các endpoint cần thiết (update, logging).
Kiểm soát quyền truy cập quản trị
Hạn chế truy cập giao diện quản trị FortiWeb:
Chỉ cho phép từ IP nội bộ đáng tin cậy.
Không expose giao diện quản trị ra Internet.
Bật:
MFA cho tài khoản quản trị.
Logging chi tiết các thao tác quản trị.
Thay đổi toàn bộ:
Mật khẩu admin.
API key / credential liên quan.
Phân đoạn mạng và hạn chế pivot nội bộ
Đặt FortiWeb trong vùng mạng phân tách rõ ràng (segmented zone).
Không cho phép FortiWeb:
Truy cập tự do sang các subnet nhạy cảm
Kết nối trực tiếp tới hệ thống quản trị, database
Áp dụng:
ACL nội bộ.
Zero-Trust Network Access (ZTNA).
ATT&CK Summary theo từng giai đoạn
Initial Access – Khai thác thiết bị Internet-facing
- T1190 – Exploit Public-Facing Application
Execution & Persistence – Cấy implant và bám trụ lâu dài
T1059 – Command Execution
T1543.002 – Systemd Service
Command & Control – Điều khiển ngầm
T1071 – Application Layer Protocol
T1573 – Encrypted Channel
Defense Evasion – Né tránh phát hiện
T1036 – Masquerading
T1027 – Obfuscated Files
Pivoting & Lateral Movement – Nguy hiểm nhất
T1090 – Proxy
T1572 – Protocol Tunneling
IOC
File Hash
4086057b9a0f9898c07318e093814ae9cfdaaf6ad71a45b2d0d4cd75e57f9354
964473ffbd593fc52a779b1d699c79cc66b459cf842c2e6221703e2e6a2322c0
172a9ee9601ef0eb6fbd2676742edfb201c10369712dbf721e5d105aa1320a32
3c24f30f2ca89d408d42293cab8fbb81cb9c2b0801074ef40f0a79770dac5956
2897ee24de4cca2a4c6a085cf6fdccb6a89c6c23978529d81b4f4e6db46b0b96
dafc7517669e931de858464966af995c44c2e7c6bdf684d53c54d6503cd48a38
Domain
testing.caai[.]in
ns1.bafairforce[.]army
ns1.ubunutpackages[.]store
IP
193.233.201[.]12
195.20.17[.]253
45.150.108[.]43
45.143.167[.]7
80.78.18[.]142
192.81.210[.]81
45.83.181[.]160
193.233.201[.]12
45.150.108[.]43
80.78.18[.]142
192.81.210[.]81
