Lỗ hổng zero-day nghiêm trọng trong FortiClientEMS đang bị khai thác trên thực tế
Fortinet vừa qua đã phát hành bản vá khẩn cấp một lỗ hổng nghiêm trọng mới, tồn tại trong FortiClientEMS của hãng, cho phép tin tặc lợi dụng và khai thác thực thi mã từ xa. Đáng chú ý, kể từ đầu năm 2026 tới nay, đây là lần thứ hai Fortinet phải phát hành bản vá khẩn cấp cho sản phẩm này, đồng thời hãng cũng xác nhận lỗ hổng zero-day này đang bị tin tặc tích cực khai thác trên thực tế, song song với lỗ hổng đã biết trước đó.
Thông tin chi tiết
Định danh lỗ hổng: CVE-2026-35616
Điểm CVSS (3.1): 9.8
Mức độ nghiêm trọng: CRITICAL - Cực kỳ nghiêm trọng
Mô tả: Lỗi kiểm soát truy cập sai cách (improper access control) trong FortinetClientEMS có thể bị kẻ tấn công ẩn danh (unauthenticated attacker) khai thác thực thi mã hoặc chạy lệnh hệ thống trái phép thông qua các request độc hại gửi tới máy chủ mục tiêu.
Phiên bản bị ảnh hưởng: FortinetClientEMS phiên bản
7.4.5đến7.4.6
FortiClientEMS hay FortiClient Enterprise Management Server đóng vai trò là một máy chủ bảo mật cho phép quản lý tập trung các thiết bị đầu cuối (endpoint) trong mạng nội bộ của doanh nghiệp. Phần mềm này cho phép quản trị viên có thể dễ dàng triển khai, cấu hình, giám sát và cập nhật FortiClient trên nhiều máy tính một cách tự động, đồng thời kiểm soát bảo mật đối với các thiết bị trong mạng lưới cũng như thay đổi các chính sách, tuân thủ nội bộ.
Tại hai phiên bản FortiClientEMS 7.4.5 và 7.4.6, phần mềm này tồn tại một điểm yếu trong việc kiểm soát các yêu cầu truy cập được gửi tới hệ thống. Việc xử lý không an toàn này cho phép kẻ tấn công ẩn danh (unauthenticated attacker) từ xa, thông qua các request được gửi tới, có thể thực thi mã hoặc chạy lệnh trái phép trên hệ thống mục tiêu, từ đó giành quyền kiểm soát máy chủ FortiClientEMS chỉ từ một điểm tấn công bên ngoài.
CVE-2026-35616 tác động tới FortiClientEMS với những rủi ro cực kỳ lớn. Việc khai thác nhắm tới hệ thống này được coi là đòn bẩy mạnh mẽ cho kẻ tấn công do vai trò đầu não của nó. Một khi FortinetClientEMS bị hạ gục, toàn bộ các thiết bị đầu cuối mà nó kiểm soát đều sẽ bị đe dọa, tin tặc có thể tự do hành động các bước tấn công tiếp theo như triển khai mã độc tống tiền, di chuyển ngang trong mạng nội bộ hay đánh cắp thông tin nhạy cảm của hệ thống.
Đáng chú ý, chỉ tính riêng từ đầu năm 2026, FortinetClientEMS đã hai lần nhận được bản vá khẩn cấp. Trước đó vào tháng 2, như FPT Threat Intelligence đã đưa tin, Fortinet tiến hành vá CVE-2026-21643 do lỗi xử lý các phần tử trong câu lệnh SQL được truyền vào, cho phép kẻ tấn công ẩn danh thực thi mã hoặc câu lệnh trái phép thông qua các HTTP request độc hại.
Hãng Fortinet cho biết CVE-2026-35616 và CVE-2026-21643 đều đang bị tin tặc tích cực khai thác trên thực tế. Theo watchTowr, các nỗ lực khai thác CVE-2026-35616 được ghi nhận bởi hệ thống bẫy honeypot của họ lần đầu tiên vào ngày 31 tháng 3 năm 2026. Trong thống kê của Shadowserver, trên toàn thế giới có hơn 2.000 máy chủ FortinetClientEMS có nguy cơ trở thành mục tiêu do chưa cập nhật bản vá bảo mật mới nhất, với Hoa Kỳ và Đức là hai quốc gia có số lượng instance dễ bị khai thác nhiều nhất, lần lượt là 593 và 163 máy chủ. Tại Việt Nam, con số này hiện nay được ghi nhận là 4.
Khắc phục & Khuyến nghị
Do tính chất đặc biệt nghiêm trọng và hệ lụy diện rộng mà các lỗ hổng này mang lại, đội ngũ FPT Threat Intelligence khuyến nghị các đơn vị đang vận hành hệ thống Fortinet thực hiện ngay các biện pháp sau:
Cập nhật bản vá cho phần mềm: Cập nhật FortiClientEMS lên phiên bản
7.4.7hoặc mới hơn. Điều này là cực kỳ quan trọng để đảm bảo sự an toàn cho hệ thống. Fortinet đã cung cấp hướng dẫn cập nhật cho hai phiên bản bị ảnh hưởng bởi CVE-2026-35616 tại hai liên kết dưới đây:https://docs.fortinet.com/document/forticlient/7.4.5/ems-release-notes/832484 cho phiên bản FortiClientEMS 7.4.5
https://docs.fortinet.com/document/forticlient/7.4.6/ems-release-notes/832484 cho phiên bản FortiClientEMS 7.4.6
Ngoài ra, phiên bản FortinetClientEMS
7.4.2không bị tác động bởi lỗ hổng này.Hạn chế truy cập từ bên ngoài: Không cho phép truy cập FortiClient EMS trực tiếp từ Internet. Chỉ cho phép quản trị từ mạng nội bộ hoặc các địa chỉ IP đáng tin cậy.
Theo dõi và kiểm tra hệ thống: Thường xuyên kiểm tra log hệ thống để phát hiện các truy cập hoặc hành vi bất thường, kịp thời xử lý nếu có dấu hiệu xâm nhập.
Tăng cường biện pháp bảo vệ tạm thời: Trong trường hợp chưa thể cập nhật ngay, nên áp dụng các biện pháp bảo vệ bổ sung như lọc truy cập web hoặc tăng cường giám sát bảo mật 24/7 để kịp thời ngăn chặn các dấu hiệu bất thường giúp giảm thiểu rủi ro.
