lỗ hổng CVE trên các sản phẩm Fortinet vừa được công bố trong loạt cảnh báo CVE ngày 12/05/2026, bao gồm 5 vấn đề bảo mật ảnh hưởng đến FortiSandbox, FortiAP, FortiAnalyzer, FortiManager và FortiOS. Trong đó, CVE-2026-26083 là lỗi nghiêm trọng nhất với cơ chế unauthenticated authorization bypass trên FortiSandbox, tạo ra nguy cơ bảo mật cao đối với các hệ thống đang vận hành nền tảng phân tích sandbox.
CVE-2026-26083: Bypass xác thực trên FortiSandbox
CVE-2026-26083 (FG-IR-26-136) là lỗi missing authorization ảnh hưởng đến FortiSandbox, FortiSandbox Cloud và FortiSandbox PaaS. Lỗ hổng này được xếp hạng Critical vì giao diện bị ảnh hưởng có thể truy cập từ xa mà không cần xác thực.
Kẻ tấn công có thể truy cập trái phép vào chức năng bị hạn chế hoặc dữ liệu phân tích sandbox nhạy cảm mà không có thông tin đăng nhập. Với bề mặt tấn công này, lỗ hổng CVE trở thành ưu tiên vá lỗi hàng đầu trong đợt phát hành.
Phiên bản bị ảnh hưởng gồm:
- FortiSandbox 5.0 và 4.4
- FortiSandbox Cloud 24, 23 và 5.0
- FortiSandbox PaaS 22.1 đến 23.4
Tham khảo thông tin gốc tại bài phân tích CVE-2026-26083 và trang tư vấn của Fortinet.
Mức độ ảnh hưởng kỹ thuật
Lỗi này không yêu cầu quyền truy cập ban đầu, nên có thể bị khai thác từ xa nếu dịch vụ GUI bị lộ ra ngoài hoặc nằm trong môi trường có cấu hình kiểm soát truy cập yếu. Với một remote code execution hoặc truy cập dữ liệu phân tích trái phép, tác động có thể bao gồm rò rỉ thông tin sandbox và xâm phạm quy trình phân tích mã độc.
Hai lỗ hổng OS command injection trên FortiAP
Fortinet cũng công bố hai lỗ hổng CVE liên quan đến OS command injection trong firmware của FortiAP. Cả hai đều ở mức Medium và yêu cầu truy cập nội bộ đã xác thực, nhưng vẫn có thể dẫn đến chiếm quyền điều khiển ở mức hệ điều hành nếu khai thác thành công.
CVE-2025-53680 trong FortiAP CLI
CVE-2025-53680 (FG-IR-26-131) là lỗi improper neutralization of special elements in OS commands trong FortiAP CLI. Lỗ hổng ảnh hưởng đến:
- FortiAP 6.4 đến 7.6
- FortiAP-U 6.2 và 7.0
- FortiAP-W2 7.0 đến 7.4
Tham chiếu: Fortinet PSIRT FG-IR-26-131.
Khai thác thành công có thể cho phép người có quyền CLI thực thi lệnh hệ điều hành tùy ý trên phần cứng access point. Đây là một rủi ro an toàn thông tin đáng chú ý nếu quyền truy cập quản trị nội bộ không được giới hạn chặt chẽ.
CVE-2025-53870 trong FortiAP-W2
CVE-2025-53870 (FG-IR-26-133) là một lỗi CLI injection độc lập, ảnh hưởng đến:
- FortiAP 6.4 đến 7.6
- FortiAP-W2 7.0 đến 7.4
Tham chiếu: Fortinet PSIRT FG-IR-26-133.
Cả hai lỗi CLI đều cần truy cập nội bộ đã xác thực, nhưng khi bị khai thác có thể khiến hệ thống bị tấn công ở lớp điều khiển thiết bị, đặc biệt trong môi trường có nhiều quản trị viên hoặc phân quyền chưa chặt.
Lỗ hổng API trên FortiAnalyzer và FortiManager
CVE-2025-67604 (FG-IR-26-137) là lỗi use of a potentially dangerous function trong lớp API của FortiAnalyzer và FortiManager. Lỗ hổng ảnh hưởng các phiên bản 7.0 đến 8.0 trên cả hai dòng sản phẩm.
Tham chiếu: Fortinet PSIRT FG-IR-26-137.
Một kẻ tấn công nội bộ đã xác thực có thể kích hoạt điều kiện denial-of-service, làm gián đoạn hoạt động phân tích log tập trung và quản trị mạng. Đây là thành phần quan trọng trong các môi trường SOC, nên tác động của lỗ hổng CVE này không chỉ dừng ở một dịch vụ đơn lẻ.
Out-of-bounds write trong CAPWAP daemon của FortiOS
CVE-2025-53844 (FG-IR-26-123) là lỗi out-of-bounds write nằm trong daemon CAPWAP của FortiOS. Lỗ hổng ảnh hưởng đến:
- FortiOS 7.2
- FortiOS 7.4
- FortiOS 7.6
Tham chiếu: Fortinet PSIRT FG-IR-26-123.
Lỗi này có thể bị kích hoạt khi một access point gửi lưu lượng CAPWAP được tạo thủ công sai định dạng. Hậu quả có thể là làm crash tiến trình FortiOS hoặc gây ra tình trạng xâm phạm tiến trình nếu điều kiện khai thác phù hợp.
Điều kiện tấn công và bề mặt khai thác
Vector được ghi nhận là Others/Internal/Authenticated, cho thấy kịch bản tấn công thường cần một foothold trong vùng mạng tin cậy hoặc một rogue AP. Trong bối cảnh phát hiện xâm nhập, lưu lượng CAPWAP bất thường là dấu hiệu cần được giám sát.
IOC và chỉ dấu cần theo dõi
Với bộ cảnh báo CVE này, không có IOC dạng mã độc hay domain/phishing được công bố. Tuy nhiên, các chỉ dấu kỹ thuật cần theo dõi gồm:
- Truy cập GUI không có xác thực vào FortiSandbox.
- Lệnh CLI bất thường trên FortiAP và FortiAP-W2.
- Gọi API bất thường trên FortiAnalyzer và FortiManager.
- Lưu lượng CAPWAP sai định dạng hoặc đến từ thiết bị access point không đáng tin cậy.
- Dấu hiệu gián đoạn dịch vụ trên hệ thống phân tích log hoặc quản trị tập trung.
Khuyến nghị vá lỗi và kiểm soát truy cập
Với lỗ hổng CVE CVE-2026-26083, cần ưu tiên cập nhật bản vá ngay do mức Critical và bề mặt tấn công không cần xác thực. Đây là điểm cần xử lý đầu tiên trong chuỗi an toàn thông tin đối với các môi trường đang dùng FortiSandbox.
Với các lỗi mức Medium, nên triển khai bản vá trong cửa sổ bảo trì gần nhất, đồng thời hạn chế quyền truy cập CLI và API chỉ cho quản trị viên tin cậy. Việc giám sát nội bộ nên tập trung vào lưu lượng CAPWAP và các API call có dấu hiệu bất thường.
Trang PSIRT của Fortinet là nguồn tham chiếu chính thức cho phiên bản ảnh hưởng, bản vá và hướng dẫn xử lý: Fortinet PSIRT Advisory.
