-
09/04/2020
-
122
-
1.265 bài viết
FortiWeb nằm trong tâm ngắm của tin tặc vì lỗ hổng bypass xác thực nghiêm trọng
Các nhà nghiên cứu an ninh mạng vừa cảnh báo về một lỗ hổng nghiêm trọng trong FortiWeb, vốn đã bị tin tặc khai thác âm thầm trước khi bản vá được phát hành. Lỗ hổng này cho phép kẻ tấn công giả mạo tài khoản quản trị và chiếm toàn quyền kiểm soát thiết bị, từ đó mở đường cho các cuộc xâm nhập sâu hơn vào hệ thống backend và mạng nội bộ của nạn nhân. Mối lo ngại càng tăng khi Fortinet chỉ công bố vấn đề sau khi hoạt động khai thác ngoài thực tế đã được ghi nhận.
Cảnh báo ban đầu đến từ watchTowr, khi nhóm này quan sát thấy các cuộc tấn công diện rộng nhắm vào các phiên bản FortiWeb chưa được nâng cấp lên 8.0.2. Điều đáng lo là kẻ tấn công không cần kỹ thuật phức tạp mà chỉ tập trung tạo tài khoản quản trị mới để giữ quyền kiểm soát thiết bị. Khi các nhà nghiên cứu tái tạo hoàn chỉnh lỗ hổng, công bố PoC và cả công cụ tạo payload, mức độ rủi ro đã được chứng thực rõ ràng. Trên các thiết bị bị xâm nhập, nhiều tài khoản quản trị lạ như Testpoint hay trader1 đồng loạt xuất hiện, cho thấy đây là chuỗi tấn công được triển khai có hệ thống thay vì những sự cố đơn lẻ.
Phân tích cho thấy lỗ hổng bắt nguồn từ hai điểm yếu kết hợp khiến việc tấn công trở nên đặc biệt đơn giản. Điểm yếu đầu tiên là lỗi path traversal cho phép kẻ tấn công dùng một HTTP request được chèn ký tự đặc biệt để đi lạc qua cấu trúc thư mục và chạm tới fwbcgi - thành phần nội bộ lẽ ra không thể truy cập từ bên ngoài. Điểm yếu thứ hai nằm ở trường CGIINFO trong header, nơi hệ thống lại tin toàn bộ dữ liệu JSON mã hóa Base64 mà không xác thực thêm. Nhờ đó, kẻ tấn công có thể giả mạo danh tính admin chỉ bằng cách gửi đúng cấu trúc gồm bốn trường cố định. Khi fwbcgi chấp nhận dữ liệu giả, kẻ tấn công có toàn quyền: tạo tài khoản mới, thay đổi cấu hình hoặc thực thi lệnh quan trọng. Chỉ với một yêu cầu HTTP dựng đúng cách, thiết bị có thể bị chiếm quyền hoàn toàn.
Trong khi cộng đồng an ninh mạng nỗ lực truy tìm nguồn gốc vụ việc, Rapid7 phát hiện một khai thác zero-day nhắm vào FortiWeb được rao bán trên diễn đàn ngầm vào ngày 6 tháng 11. Mặc dù chưa thể xác nhận đây có phải chính là lỗ hổng đang bị khai thác hay không, sự trùng khớp thời gian cho thấy tin tặc đã hiểu rõ cơ chế tấn công từ rất sớm. Việc khai thác ngoài thực tế được ghi nhận từ đầu tháng trước càng củng cố nhận định rằng nhiều hệ thống đã bị xâm nhập trước khi bất kỳ cảnh báo chính thức nào được đưa ra.
Sau đó không lâu, Fortinet xác nhận vấn đề với mã định danh CVE-2025-64446 và đánh giá mức độ nghiêm trọng ở mức 9.1 theo thang CVSS. Các phiên bản bị ảnh hưởng gồm:
Cảnh báo ban đầu đến từ watchTowr, khi nhóm này quan sát thấy các cuộc tấn công diện rộng nhắm vào các phiên bản FortiWeb chưa được nâng cấp lên 8.0.2. Điều đáng lo là kẻ tấn công không cần kỹ thuật phức tạp mà chỉ tập trung tạo tài khoản quản trị mới để giữ quyền kiểm soát thiết bị. Khi các nhà nghiên cứu tái tạo hoàn chỉnh lỗ hổng, công bố PoC và cả công cụ tạo payload, mức độ rủi ro đã được chứng thực rõ ràng. Trên các thiết bị bị xâm nhập, nhiều tài khoản quản trị lạ như Testpoint hay trader1 đồng loạt xuất hiện, cho thấy đây là chuỗi tấn công được triển khai có hệ thống thay vì những sự cố đơn lẻ.
Phân tích cho thấy lỗ hổng bắt nguồn từ hai điểm yếu kết hợp khiến việc tấn công trở nên đặc biệt đơn giản. Điểm yếu đầu tiên là lỗi path traversal cho phép kẻ tấn công dùng một HTTP request được chèn ký tự đặc biệt để đi lạc qua cấu trúc thư mục và chạm tới fwbcgi - thành phần nội bộ lẽ ra không thể truy cập từ bên ngoài. Điểm yếu thứ hai nằm ở trường CGIINFO trong header, nơi hệ thống lại tin toàn bộ dữ liệu JSON mã hóa Base64 mà không xác thực thêm. Nhờ đó, kẻ tấn công có thể giả mạo danh tính admin chỉ bằng cách gửi đúng cấu trúc gồm bốn trường cố định. Khi fwbcgi chấp nhận dữ liệu giả, kẻ tấn công có toàn quyền: tạo tài khoản mới, thay đổi cấu hình hoặc thực thi lệnh quan trọng. Chỉ với một yêu cầu HTTP dựng đúng cách, thiết bị có thể bị chiếm quyền hoàn toàn.
Trong khi cộng đồng an ninh mạng nỗ lực truy tìm nguồn gốc vụ việc, Rapid7 phát hiện một khai thác zero-day nhắm vào FortiWeb được rao bán trên diễn đàn ngầm vào ngày 6 tháng 11. Mặc dù chưa thể xác nhận đây có phải chính là lỗ hổng đang bị khai thác hay không, sự trùng khớp thời gian cho thấy tin tặc đã hiểu rõ cơ chế tấn công từ rất sớm. Việc khai thác ngoài thực tế được ghi nhận từ đầu tháng trước càng củng cố nhận định rằng nhiều hệ thống đã bị xâm nhập trước khi bất kỳ cảnh báo chính thức nào được đưa ra.
Sau đó không lâu, Fortinet xác nhận vấn đề với mã định danh CVE-2025-64446 và đánh giá mức độ nghiêm trọng ở mức 9.1 theo thang CVSS. Các phiên bản bị ảnh hưởng gồm:
- 8.0.0 – 8.0.1 → nâng cấp lên 8.0.2
- 7.6.0 – 7.6.4 → nâng cấp lên 7.6.5
- 7.4.0 – 7.4.9 → nâng cấp lên 7.4.10
- 7.2.0 – 7.2.11 → nâng cấp lên 7.2.12
- Vô hiệu hóa giao diện quản trị HTTP và HTTPS hướng Internet cho đến khi cập nhật hoàn tất
- Kiểm tra log, rà soát cấu hình và phát hiện mọi tài khoản quản trị bất thường
- Triển khai bản vá ngay lập tức để đảm bảo an toàn
- Hạn chế quyền truy cập giao diện quản trị HTTP/HTTPS chỉ trong mạng nội bộ
Theo The Hacker News
Chỉnh sửa lần cuối: