Lỗ hổng Zero-day trên Fortinet cho phép kẻ tấn công chiếm quyền super-admin
Fortinet vừa qua đã phát hành bản vá cho lỗ hổng Zero-day tồn tại trong các sản phẩm FortiOS và FortiProxy của hãng, cho phép kẻ tấn công chiếm quyền siêu quản trị (super-administrative) nếu khai thác thành công lỗ hổng.
Thông tin lỗ hổng
Định danh lỗ hổng:
CVE-2024-55591Mức độ nghiêm trọng: Critical
Điểm CVSS(3.1): 9.8
Mô tả: Lỗ hổng Authentication Bypass Using an Alternate Path or Channel, là lỗ hổng cho phép bỏ qua phương thức xác thực bằng cách sử dụng một đường dẫn hoặc một kênh thay thế (alternate path or channel) [CWE-288]. Kẻ tấn công khai thác thành công lỗ hổng có thể đạt quyền super-admin trên hệ thống thông qua các yêu cầu độc hại gửi tới mô-đun WebSocket của Node.js.
Sản phẩm bị ảnh hưởng:
| Sản phẩm | Phiên bản bị ảnh hưởng |
| FortiOS 7.0 | 7.0.0 đến 7.0.16 |
| FortiProxy 7.0 | 7.0.0 đến 7.0.19 |
| FortiProxy 7.2 | 7.2.0 đến 7.2.12 |
Khai thác lỗ hổng
Các chuyên gia an ninh mạng của Fortinet phỏng đoán việc khai thác lỗ hổng CVE-2024-55591 trên thực tế đã được bắt đầu trong khoảng đầu năm 2025, khi họ nhận thấy có điều bất thường trong những báo cáo bảo mật định kỳ. Kẻ tấn công tạo ra các tài khoản người dùng cục bộ hoặc quản trị viên ngẫu nhiên trên các thiết bị đã bị xâm nhập, sau đó thêm những tài khoản này vào nhóm người dùng SSL VPN hiện có cũng như vào nhóm người dùng mới được tạo ra.
Tiếp tục theo dõi và nghiên cứu, các nhà bảo mật phát hiện ra phần giao diện người dùng (GUI) giúp thực thi các lệnh trong giao diện dòng lệnh (CLI) của giao diện quản lý FortiOS đang tồn tại lỗ hổng. Do công cụ này giống với CLI được cung cấp và sử dụng bởi các quản trị viên hợp pháp khi cấu hình thiết bị, do đó nếu kẻ tấn công có quyền truy cập tới công cụ, bản thân thiết bị đó sẽ được coi là bị xâm phạm.
Các cuộc mô phỏng tấn công cũng đã được tiến hành, có thể tóm gọn trong bốn bước chính như sau:
Tạo kết nối tới WebSocket từ một yêu cầu HTTP đã được xác thực trước.
Sử dụng tham số
local_access_tokenđể bỏ qua kiểm tra phiên.Khai thác race condition trong WebSocket Telnet CLI nhằm gửi xác thực trước khi máy chủ thực hiện bước kiểm tra hợp lệ.
Chọn hồ sơ người dùng với quyền truy cập mà kẻ tấn công muốn giả mạo. Trong các cuộc tấn công mô phỏng, kẻ tấn công có thể cấu hình để trở thành super-admin.
Khuyến nghị & Khắc phục
Phương pháp đơn giản, hiệu quả nhất đó chính là cập nhật bản vá trong các sản phẩm bị ảnh hưởng lên phiên bản mới nhất.
FortiOS 7.0: Cập nhật lên phiên bản FortiOS
7.0.17hoặc mới hơn.FortiProxy 7.0: Cập nhật lên phiên bản FortiProxy
7.0.20hoặc mới hơn.FortiProxy 7.2: Cập nhật lên phiên bản FortiProxy
7.2.13hoặc mới hơn.
Đối với trường hợp không thể cập nhật bản vá ngay lập tức cho các sản các phẩm bị ảnh hưởng, các quản trị viên nên thực hiện vô hiệu hoá giao diện quản trị HTTP/HTTPS hoặc giới hạn những địa chỉ IP có thể truy cập tới giao diện quản trị thông qua các chính sách cục bộ như một giải pháp thay thế.
Ngoài ra, do kẻ tấn công có thể phỏng đoán tài khoản của quản trị viên hoặc người dùng trên hệ thống và đăng nhập vào CLE để khai thác lỗ hổng nếu tên của họ bị lộ, vì vậy Fortinet cũng khuyến khích các quản trị viên có một tài khoản được đặt tên không theo quy chuẩn và không thể đoán được. Điều này có thể cung cấp một số biện pháp dự phòng và cũng có thể là một phương pháp tốt để đối mặt với các cuộc tấn công khai thác.
Tham khảo
- Fortiguard: https://www.fortiguard.com/psirt/FG-IR-24-535
