-
09/04/2020
-
122
-
1.400 bài viết
Hệ sinh thái Fortinet dính lỗ hổng bypass SSO, thiết bị có thể bị chiếm quyền từ xa
Fortinet vừa phát hành cảnh báo an ninh khẩn cấp liên quan đến một lỗ hổng nguy hiểm ảnh hưởng rộng rãi tới các sản phẩm FortiOS, FortiWeb, FortiProxy và FortiSwitchManager. Lỗ hổng này cho phép tin tặc vượt qua cơ chế đăng nhập FortiCloud Single Sign-On (SSO) và chiếm quyền quản trị thiết bị mà không cần mật khẩu. Lỗ hổng này đòi hỏi mọi tổ chức sử dụng các sản phẩm Fortinet cần nhanh chóng kiểm tra vá hoặc áp dụng biện pháp phòng ngừa nếu không muốn đối mặt với nguy cơ xâm nhập, đánh cắp dữ liệu hoặc tấn công sâu vào hệ thống nội bộ.
Lỗi xuất phát từ việc thiết bị không thực hiện đúng việc kiểm tra chữ ký số trong các thông điệp SAML dùng cho đăng nhập SSO. Cụ thể, khi một thiết bị Fortinet được cấu hình dùng chức năng SSO thông qua dịch vụ đám mây FortiCloud, quy trình xác thực thường yêu cầu chữ ký số hợp lệ trên thông điệp SAML do nhà cung cấp SSO phát ra. Tuy nhiên, do sai sót trong kiểm tra chữ ký số, thiết bị chấp nhận cả các thông điệp giả mạo, từ đó tạo điều kiện cho kẻ tấn công gửi một “SAML response” tùy chỉnh và vượt qua hoàn toàn bước xác thực. Lỗ hổng này được nhóm Product Security của Fortinet phát hiện nội bộ và chính thức công bố vào ngày 9/12/2025.
Bản chất kỹ thuật của lỗ hổng thuộc loại “Improper Verification of Cryptographic Signature” (theo chuẩn CWE-347), nghĩa là nơi mà phần mềm không kiểm tra đúng/chính xác chữ ký số (một bước then chốt để xác minh nguồn và tính toàn vẹn của thông điệp SAML).
Trong thực tế, quá trình này có thể diễn ra hoàn toàn từ xa, không cần sự tương tác của người dùng, không cần quyền ban đầu khiến nguy cơ rất cao, đặc biệt nếu thiết bị được cấu hình qua GUI mà bật sẵn SSO.
Theo khuyến cáo của Fortinet, các bản vá đã được phát hành ngay sau khi công bố lỗ hổng, người dùng cần cập nhật luôn thiết bị lên phiên bản mới nhất. Trong trường hợp chưa thể cập nhật ngay, việc vô hiệu hóa FortiCloud SSO trên thiết bị đang bị ảnh hưởng là biện pháp giảm thiểu rủi ro cần thực hiện ngay. Bên cạnh đó, quản trị viên nên rà soát cấu hình, kiểm tra xem SSO có đang bật hay không, theo dõi nhật ký truy cập để phát hiện các đăng nhập lạ hoặc bất thường.
Các chuyên gia an ninh mạng thường khuyến cáo nên hạn chế việc bật SSO hoặc các tính năng tự động nếu không cần thiết, đặc biệt trên các thiết bị quản lý quan trọng, đồng thời nên áp dụng chính sách bảo mật chặt chẽ: Truy cập GUI quản trị chỉ từ mạng nội bộ, hạn chế từ internet, sử dụng VPN hoặc các cơ chế xác thực mạnh thay vì SSO đơn thuần và duy trì quy trình vá lỗi định kỳ.
Lỗ hổng vượt qua xác thực SSO trên các thiết bị Fortinet lần này là minh chứng cho thấy ngay cả những cơ chế bảo mật hiện đại nếu được triển khai thiếu cẩn trọng vẫn có thể bị phá vỡ dễ dàng. Khi chữ ký số trong thông điệp SAML không được kiểm tra đúng cách, “cửa sau” vô hình được mở và kẻ xấu có thể chiếm quyền kiểm soát hệ thống từ xa mà nạn nhân không hề hay biết.
Bài học đặt ra cho doanh nghiệp và quản trị viên là không có lớp bảo vệ nào chắc chắn nếu bạn không theo sát cấu hình, kiểm tra định kỳ và cập nhật phần mềm kịp thời. Việc tuân thủ quy trình bảo mật nghiêm ngặt, kết hợp với thực hành quản trị tốt và bản vá nhanh chóng, chính là chìa khóa để bảo vệ hệ thống trong bối cảnh các tấn công mạng ngày càng tinh vi.
Lỗi xuất phát từ việc thiết bị không thực hiện đúng việc kiểm tra chữ ký số trong các thông điệp SAML dùng cho đăng nhập SSO. Cụ thể, khi một thiết bị Fortinet được cấu hình dùng chức năng SSO thông qua dịch vụ đám mây FortiCloud, quy trình xác thực thường yêu cầu chữ ký số hợp lệ trên thông điệp SAML do nhà cung cấp SSO phát ra. Tuy nhiên, do sai sót trong kiểm tra chữ ký số, thiết bị chấp nhận cả các thông điệp giả mạo, từ đó tạo điều kiện cho kẻ tấn công gửi một “SAML response” tùy chỉnh và vượt qua hoàn toàn bước xác thực. Lỗ hổng này được nhóm Product Security của Fortinet phát hiện nội bộ và chính thức công bố vào ngày 9/12/2025.
Bản chất kỹ thuật của lỗ hổng thuộc loại “Improper Verification of Cryptographic Signature” (theo chuẩn CWE-347), nghĩa là nơi mà phần mềm không kiểm tra đúng/chính xác chữ ký số (một bước then chốt để xác minh nguồn và tính toàn vẹn của thông điệp SAML).
Mã định danh lỗ hổng, mức độ nghiêm trọng
Hai mã CVE chính liên quan lỗ hổng này là:- CVE-2025-59718: ảnh hưởng đến các sản phẩm như FortiOS và FortiProxy (các phiên bản 7.0 đến 7.6), FortiSwitchManager (các phiên bản 7.0, 7.2) khi đang nằm trong các phiên bản mà Fortinet liệt kê là bị ảnh hưởng.
- CVE-2025-59719: ảnh hưởng đến FortiWeb (các phiên bản từ 7.4 đến 8.0) trong các phiên bản tương ứng.
Sản phẩm | Phiên bản bị ảnh hưởng | Phiên bản khắc phục (nâng cấp lên) |
| FortiOS 7.6 | 7.6.0 - 7.6.3 | 7.6.4 trở lên |
| FortiOS 7.4 | 7.4.0 - 7.4.8 | 7.4.9 trở lên |
| FortiOS 7.2 | 7.2.0 - 7.2.11 | 7.2.12 trở lên |
| FortiOS 7.0 | 7.0.0 - 7.0.17 | 7.0.18 trở lên |
| FortiOS 6.4 | Không bị ảnh hưởng | Không yêu cầu cập nhật |
| FortiProxy 7.6 | 7.6.0 - 7.6.3 | 7.6.4 trở lên |
| FortiProxy 7.4 | 7.4.0 - 7.4.10 | 7.4.11 trở lên |
| FortiProxy 7.2 | 7.2.0 - 7.2.14 | 7.2.15 trở lên |
| FortiProxy 7.0 | 7.0.0 - 7.0.21 | 7.0.22 trở lên |
| FortiSwitchManager 7.2 | 7.2.0 - 7.2.6 | 7.2.7 trở lên |
| FortiSwitchManager 7.0 | 7.0.0 - 7.0.5 | 7.0.6 trở lên |
| FortiWeb 8.0 | 8.0.0 | 8.0.1 trở lên |
| FortiWeb 7.6 | 7.6.0 - 7.6.4 | 7.6.5 hoặc cao hơn |
| FortiWeb 7.4 | 7.4.0 - 7.4.9 | 7.4.10 hoặc cao hơn |
Cơ chế khai thác lỗ hổng
Kẻ tấn công muốn lợi dụng lỗ hổng này chỉ cần gửi một thông điệp SAML Response được tùy chỉnh tới thiết bị Fortinet đang bật FortiCloud SSO. Vì chữ ký số trong thông điệp không được kiểm tra đúng cách, thiết bị sẽ xem như thông điệp hợp lệ, từ đó cho phép đăng nhập như một quản trị viên hợp pháp. Sau đó, kẻ xấu có thể truy cập giao diện quản trị để thay đổi cấu hình, mở cổng từ xa, chèn các quy tắc firewall nguy hiểm hoặc dùng thiết bị như bàn đạp để xâm nhập sâu vào hệ thống nội bộ.Trong thực tế, quá trình này có thể diễn ra hoàn toàn từ xa, không cần sự tương tác của người dùng, không cần quyền ban đầu khiến nguy cơ rất cao, đặc biệt nếu thiết bị được cấu hình qua GUI mà bật sẵn SSO.
Rủi ro và hậu quả khi lỗ hổng bị khai thác
Khi lỗ hổng bị khai thác thành công, hậu quả với hệ thống doanh nghiệp hoặc mạng nội bộ có thể rất nặng nề:- Thiết bị bảo mật (firewall, proxy, WAF…) mất kiểm soát, kẻ tấn công nắm quyền quản trị tuyệt đối.
- Mạng nội bộ có thể bị mở cửa, lưu lượng mạng bị giám sát, đánh cắp, chuyển hướng hoặc chèn mã độc.
- Dữ liệu nhạy cảm, thông tin nội bộ, mã nguồn, bí mật doanh nghiệp có nguy cơ bị rò rỉ.
- Khả năng tấn công lan rộng, thiết lập backdoor, thậm chí tạo VPN hoặc kênh truy cập từ xa để duy trì quyền kiểm soát lâu dài.
- Bạn khó phát hiện việc tấn công, vì việc đăng nhập qua SSO giả mạo vẫn ghi nhận là “đúng”, nhật ký (log) không cảnh báo rõ ràng về hành vi bất thường.
Theo khuyến cáo của Fortinet, các bản vá đã được phát hành ngay sau khi công bố lỗ hổng, người dùng cần cập nhật luôn thiết bị lên phiên bản mới nhất. Trong trường hợp chưa thể cập nhật ngay, việc vô hiệu hóa FortiCloud SSO trên thiết bị đang bị ảnh hưởng là biện pháp giảm thiểu rủi ro cần thực hiện ngay. Bên cạnh đó, quản trị viên nên rà soát cấu hình, kiểm tra xem SSO có đang bật hay không, theo dõi nhật ký truy cập để phát hiện các đăng nhập lạ hoặc bất thường.
Các chuyên gia an ninh mạng thường khuyến cáo nên hạn chế việc bật SSO hoặc các tính năng tự động nếu không cần thiết, đặc biệt trên các thiết bị quản lý quan trọng, đồng thời nên áp dụng chính sách bảo mật chặt chẽ: Truy cập GUI quản trị chỉ từ mạng nội bộ, hạn chế từ internet, sử dụng VPN hoặc các cơ chế xác thực mạnh thay vì SSO đơn thuần và duy trì quy trình vá lỗi định kỳ.
Lỗ hổng vượt qua xác thực SSO trên các thiết bị Fortinet lần này là minh chứng cho thấy ngay cả những cơ chế bảo mật hiện đại nếu được triển khai thiếu cẩn trọng vẫn có thể bị phá vỡ dễ dàng. Khi chữ ký số trong thông điệp SAML không được kiểm tra đúng cách, “cửa sau” vô hình được mở và kẻ xấu có thể chiếm quyền kiểm soát hệ thống từ xa mà nạn nhân không hề hay biết.
Bài học đặt ra cho doanh nghiệp và quản trị viên là không có lớp bảo vệ nào chắc chắn nếu bạn không theo sát cấu hình, kiểm tra định kỳ và cập nhật phần mềm kịp thời. Việc tuân thủ quy trình bảo mật nghiêm ngặt, kết hợp với thực hành quản trị tốt và bản vá nhanh chóng, chính là chìa khóa để bảo vệ hệ thống trong bối cảnh các tấn công mạng ngày càng tinh vi.
WhiteHat