Lỗ hổng nghiêm trọng trong FortiClientEMS cho phép tin tặc thực thi mã từ xa
Fortinet vừa qua đã công bố một lỗ hổng nghiêm trọng mới, tồn tại trong sản phẩm FortiClientEMS của hãng, cho phép tin tặc lợi dụng và khai thác thực thi mã từ xa thông qua kỹ thuật tấn công SQL injection.
Thông tin chi tiết
Định danh lỗ hổng:
CVE-2026-21643Điểm CVSS(3.1): 9.1
Mức độ nghiêm trọng: CRITICAL - Cực kỳ nghiêm trọng
Mô tả: Lỗi do quá trình xử lý các phần tử trong câu lệnh SQL được truyền vào Fortinet FortiClientEMS có thể cho phép kẻ tấn công chưa xác thực (unauthenticated attacker) lợi dụng và thực thi mã hoặc câu lệnh trái phép thông qua các HTTP request độc hại tuỳ chỉnh.
Phiên bản ảnh hưởng:
| Sản phẩm | Phiên bản bị ảnh hưởng | Thông tin bản vá |
| FortiClientEMS 8.0 | Không ảnh hưởng | |
| FortiClientEMS 7.4 | 7.4.4 | 7.4.5 hoặc phiên bản mới hơn |
| FortiClientEMS 7.2 | Không ảnh hưởng |
FortiClientEMS hay FortiClient Enterprise Management Server đóng vai trò là một máy chủ bảo mật cho phép quản lý tập trung các thiết bị đầu cuối (endpoint) trong mạng nội bộ của doanh nghiệp. Phần mềm này cho phép quản trị viên có thể dễ dàng triển khai, cấu hình, giám sát và cập nhật FortiClient trên nhiều máy tính một cách tự động, đồng thời kiểm soát bảo mật đối với các thiết bị trong mạng lưới cũng như thay đổi các chính sách, tuân thủ nội bộ.
Tại phiên bản FortiClientEMS 7.4.4, phần mềm này tồn tại một điểm yếu trong việc lọc và xử lý các câu lệnh SQL được truyền vào. Việc xử lý không an toàn này cho phép kẻ tấn công ẩn danh (unauthenticated attacker) từ xa có thể lợi dụng và khai thác bằng kỹ thuật tiêm lệnh SQL injection được ẩn trong các HTTP request được gửi tới hệ thống. Điều này dẫn đến khả năng vượt qua cơ chế xác thực, từ đó giành quyền truy cập trái phép và kiểm soát máy chủ FortiClientEMS chỉ từ một điểm tấn công bên ngoài.
CVE-2026-21643 tác động tới FortiClientEMS với những rủi ro cực kỳ lớn. Việc khai thác xâm nhập ban đầu vào hệ thống này được coi là đòn bẩy mạnh mẽ cho kẻ tấn công có thể tự do triển khai các bước tấn công tiếp theo lên hệ thống bởi khi một máy chủ điều khiển trung tâm như FortiClientEMS bị hạ gục, toàn bộ các thiết bị đầu cuối mà nó kiểm soát đều sẽ bị đe dọa. Dưới đây là một số rủi ro có thể xảy ra nếu tin tặc thành công khai thác lỗ hổng này:
Chiếm quyền và thực thi các lệnh điều khiển từ xa (RCE): Kẻ tấn công có thể cài đặt phần mềm độc hại, triển khai mã độc tống tiền (ransomware), tạo thêm các tài khoản quản trị giả mạo để duy trì sự hiện diện lâu dài trong hệ thống hay dễ dàng thực thi các lệnh hệ thống trực tiếp trên máy chủ EMS bởi các máy chủ này thường chạy với quyền quản trị cao nhất (System/Admin).
Di chuyển ngang trong hệ thống: Do FortiClient EMS là nơi quản lý và đẩy cấu hình xuống hàng ngàn máy tính nhân viên, vì vậy kẻ tấn công có thể lợi dụng EMS để phát tán virus xuống tất cả máy tính trong nội bộ, dễ dàng tắt tính năng diệt virus trên máy của nhân viên để đánh cắp dữ liệu mà không bị phát hiện.
Rò rỉ thông tin nội bộ & Thay đổi dữ liệu nhạy cảm: Do việc khai thác lỗ hổng sử dụng kỹ thuật tiêm lệnh SQL injection, kẻ tấn công cũng có thể can thiệp trực tiếp vào cơ sở dữ liệu của EMS để đánh cắp thông tin danh sách nhân viên, sơ đồ mạng, lịch sử truy cập, thông tin thiết bị và các cấu hình bảo mật quan trọng. Ngoài ra tin tặc cũng có thể thực hiện thay đổi chính sách hiện có như chỉnh sửa các rule tường lửa hoặc chính sách VPN để tạo backdoor cho các cuộc tấn công tiếp theo.
Khuyến nghị & Khắc phục
Tuy trong khuyến nghị bảo mật của hãng Fortinet không đề cập đến việc lỗ hổng này đang bị khai thác trên thực tế, tuy nhiên người dùng và quản trị viên doanh nghiệp đang sử dụng sản phẩm FortiClientEMS vẫn cần thực hiện cập nhật phần mềm này lên phiên bản mới nhất để đảm bảo an toàn. Ngoài ra, đội ngũ FPT Threat Intelligence khuyến nghị:
Cập nhật bản vá cho phần mềm: Cập nhật FortiClientEMS lên phiên bản
7.4.5hoặc mới hơn. Điều này là cực kỳ quan trọng để đảm bảo sự an toàn cho hệ thống.Hạn chế truy cập từ bên ngoài: Không cho phép truy cập FortiClient EMS trực tiếp từ Internet. Chỉ cho phép quản trị từ mạng nội bộ hoặc các địa chỉ IP đáng tin cậy.
Theo dõi và kiểm tra hệ thống: Thường xuyên kiểm tra log hệ thống để phát hiện các truy cập hoặc hành vi bất thường, kịp thời xử lý nếu có dấu hiệu xâm nhập.
Tăng cường biện pháp bảo vệ tạm thời: Trong trường hợp chưa thể cập nhật ngay, nên áp dụng các biện pháp bảo vệ bổ sung như lọc truy cập web hoặc tăng cường giám sát bảo mật 24/7 để kịp thời ngăn chặn các dấu hiệu bất thường giúp giảm thiểu rủi ro.
