Lỗ hổng nghiêm trọng trong FortiAuthenticator và FortiSandbox
Vừa qua, Fortinet đã công bố bản vá khẩn cấp cho hai lỗ hổng cực kỳ nghiêm trọng, ảnh hưởng đến hai sản phẩm bảo mật doanh nghiệp trọng yếu là FortiAuthenticator và FortiSandbox, cho phép kẻ tấn công ẩn danh từ có thể thực thi mã hoặc câu lệnh tùy ý trên hệ thống bị ảnh hưởng.
Thông tin chi tiết
Lỗ hổng 1 – FortiAuthenticator
Định danh lỗ hổng: CVE-2026-44277
Điểm CVSS (3.1): 9.1
Mức độ nghiêm trọng: CRITICAL – Cực kỳ nghiêm trọng
Mô tả: Lỗ hổng kiểm soát truy cập không đúng cách (Improper Access Control – CWE-284) trong FortiAuthenticator cho phép kẻ tấn công từ xa chưa qua xác thực thực thi mã hoặc câu lệnh trái phép thông qua các HTTP request được tạo thủ công đặc biệt.
Phiên bản bị ảnh hưởng:
| Sản phẩm | Phiên bản bị ảnh hưởng | Phiên bản vá |
|---|---|---|
| FortiAuthenticator 8.0 | 8.0.0, 8.0.2 | 8.0.3 hoặc mới hơn |
| FortiAuthenticator 6.6 | 6.6.0 đến 6.6.8 | 6.6.9 hoặc mới hơn |
| FortiAuthenticator 6.5 | 6.5.0 đến 6.5.6 | 6.5.7 hoặc mới hơn |
| FortiAuthenticator 6.4 | 6.4.0 đến 6.4.10 | 6.4.11 hoặc mới hơn |
Lỗ hổng 2 – FortiSandbox
Định danh lỗ hổng: CVE-2026-26083
Điểm CVSS (3.1): 9.1
Mức độ nghiêm trọng: CRITICAL – Cực kỳ nghiêm trọng
Mô tả: Lỗ hổng thiếu kiểm tra ủy quyền (Missing Authorization – CWE-862) trong giao diện Web UI của FortiSandbox, FortiSandbox Cloud và FortiSandbox PaaS cho phép kẻ tấn công từ xa chưa qua xác thực thực thi mã hoặc câu lệnh trái phép thông qua các HTTP request độc hại.
Phiên bản bị ảnh hưởng:
| Sản phẩm | Phiên bản bị ảnh hưởng | Phiên bản vá |
|---|---|---|
| FortiSandbox 5.0 | Các phiên bản 5.0 | 5.0.2 hoặc mới hơn |
| FortiSandbox 4.4 | Các phiên bản 4.4 | 4.4.9 hoặc mới hơn |
| FortiSandbox Cloud | 24.x, 23.x, 5.0.x | Theo advisory chính thức |
| FortiSandbox PaaS | 22.1 đến 23.4 | Theo advisory chính thức |
FortiAuthenticator là giải pháp quản lý danh tính và truy cập (Identity and Access Management – IAM) trung tâm trong hệ sinh thái Fortinet Security Fabric. Sản phẩm này đảm nhận vai trò xác thực tập trung thông qua các giao thức RADIUS, LDAP và SAML, đồng thời tích hợp với Active Directory và cung cấp Single Sign-On (SSO) cùng xác thực đa yếu tố (MFA) cho toàn bộ người dùng trong mạng doanh nghiệp. Với vai trò là "cổng danh tính" của tổ chức, một lỗ hổng trên FortiAuthenticator đồng nghĩa với nguy cơ toàn bộ cơ sở hạ tầng xác thực bị xâm phạm.
FortiSandbox là giải pháp phân tích mối đe dọa nâng cao, sử dụng machine learning để thực hiện phân tích tĩnh và động (static & dynamic analysis) trên các file hoặc URL đáng ngờ trong môi trường cô lập, phục vụ phát hiện các mối đe dọa zero-day mà các công cụ bảo mật truyền thống có thể bỏ qua. FortiSandbox tích hợp chặt chẽ với các sản phẩm khác trong hệ sinh thái Fortinet như FortiGate, FortiMail và FortiWeb, và được triển khai ở cả dạng thiết bị phần cứng, máy ảo, cloud và PaaS.
Đối với CVE-2026-44277 trên FortiAuthenticator, đây được xác định là lỗi kiểm soát truy cập không đầy đủ (CWE-284) ở tầng xử lý API handler.
Trong trường hợp bình thường, mọi request đến FortiAuthenticator đều phải trải qua quá trình xác thực và phân quyền trước khi được thực thi.
Tuy nhiên, do lỗi trong logic kiểm tra quyền truy cập, một số handler API nhất định không thực thi đầy đủ bước kiểm tra xác thực này, cho phép kẻ tấn công gửi các request độc hại tới, vượt qua toàn bộ cơ chế xác thực và kích hoạt thực thi mã trực tiếp trên hệ thống.
Mặt khác, CVE-2026-26083 trên FortiSandbox là lỗi thiếu kiểm tra ủy quyền (CWE-862) trong giao diện Web UI. So với CWE-284 (kiểm tra sai) ở CVE-2026-44277, CWE-862 của lỗ hổng này có nghĩa là bước kiểm tra ủy quyền hoàn toàn vắng mặt tại một số endpoint của Web UI. Kẻ tấn công có thể gửi các HTTP request độc hại đến các endpoint trên mà không cần bất kỳ thông tin xác thực nào, từ đó tuỳ ý thực thi mã trên hệ thống FortiSandbox.
Những rủi ro và tác động mà cặp đôi lỗ hổng này có thể mang lại bao gồm:
Xâm phạm toàn bộ cơ sở hạ tầng xác thực: Nếu CVE-2026-44277 bị khai thác thành công trên FortiAuthenticator, kẻ tấn công có thể can thiệp vào cơ chế MFA và SSO của toàn tổ chức – tạo tài khoản quản trị giả mạo, vô hiệu hóa MFA cho tài khoản mục tiêu, hoặc thu thập thông tin xác thực của toàn bộ người dùng đang được quản lý.
Phá vỡ tuyến phòng thủ phát hiện mối đe dọa: Nếu CVE-2026-26083 bị khai thác trên FortiSandbox, kẻ tấn công có thể truy cập và sửa đổi kết quả phân tích sandbox, cấu hình danh sách whitelist nhằm qua mặt bước kiểm tra, hoặc sử dụng quyền thực thi mã để di chuyển sang các hệ thống Fortinet khác tích hợp với FortiSandbox.
Rủi ro leo thang trong hệ sinh thái Fortinet: Cả hai sản phẩm đều tích hợp sâu với các thành phần khác trong Fortinet Security Fabric. Một điểm bị khai thác thành công cũng có thể trở thành bàn đạp để tấn công lan rộng sang FortiGate, FortiMail, FortiSIEM hay các thiết bị bảo mật khác trong cùng hệ sinh thái.
Tiền lệ lịch sử với các sản phẩm Fortinet cho thấy mức độ rủi ro thực tế cao hơn nhiều so với trạng thái "chưa khai thác" hiện tại. Trước đó vào tháng 2/2026, Fortinet phát hiện nội bộ và vá lỗ hổng SQL injection CVE-2026-21643 trong FortiClient EMS – chỉ một tháng sau, lỗ hổng này đã bị xác nhận khai thác trong thực tế. CISA đến nay đã ghi nhận 24 lỗ hổng Fortinet trong danh mục Known Exploited Vulnerabilities (KEV), trong đó 13 lỗ hổng bị lợi dụng trong các cuộc tấn công ransomware.
Khắc phục & Khuyến nghị
Mặc dù chưa có khai thác thực tế được ghi nhận, tuy nhiên với điểm số CVSS cao, kết hợp với bề mặt tấn công không yêu cầu xác thực, đội ngũ FPT Threat Intelligence khuyến nghị người dùng và các quản trị viên cần:
Cập nhật bản vá ngay lập tức: Nâng cấp FortiAuthenticator và FortiSandbox lên các phiên bản vá tương ứng theo bảng phiên bản ở trên. Ưu tiên các instance có giao diện quản trị web được expose ra internet hoặc DMZ.
Hạn chế truy cập giao diện quản trị: Chặn truy cập vào cổng quản trị Web UI của FortiSandbox (thường là cổng 443) từ mạng bên ngoài. Chỉ cho phép truy cập FortiAuthenticator từ các dải IP quản trị tin cậy và mạng nội bộ có kiểm soát.
Giám sát log xác thực và hành vi bất thường: Theo dõi các hoạt động bất thường trên FortiAuthenticator như tạo tài khoản mới, thay đổi cấu hình MFA/SSO ngoài giờ hành chính, hoặc các request đến API handler từ IP không xác định. Trên FortiSandbox, chú ý các thay đổi bất ngờ trong cấu hình whitelist và kết quả phân tích.
Đánh giá mức độ tích hợp và rủi ro lan rộng: Rà soát các sản phẩm Fortinet khác đang tích hợp với FortiAuthenticator và FortiSandbox trong môi trường, từ đó xác định phạm vi ảnh hưởng tiềm năng nếu một trong hai sản phẩm bị xâm phạm và chuẩn bị kế hoạch phản ứng phù hợp.
