Các mối đe dọa đang tích cực khai thác nhiều lỗ hổng nghiêm trọng trên nền tảng Fortinet FortiSandbox. Dữ liệu tấn công thời gian thực xác nhận các nỗ lực khai thác đã diễn ra trong 24 giờ qua.
Các Lỗ Hổng Fortinet FortiSandbox Bị Khai Thác
Nhiều cảm biến honeypot và cơ sở hạ tầng đánh lừa được ngụy trang thành các phiên bản Fortinet FortiSandbox đã ghi nhận các nỗ lực khai thác nhắm vào ba lỗ hổng khác nhau. Tất cả các cuộc tấn công đều được kích hoạt qua cổng 443 bằng các yêu cầu POST được chế tạo đặc biệt tới điểm cuối API /jsonrpc/.
CVE-2026-39813: Lỗi Path Traversal
Lỗ hổng này, được phân loại theo CWE-24, nằm trong FortiSandbox JRPC API. Nó cho phép kẻ tấn công từ xa không cần xác thực vượt qua cơ chế xác thực thông qua các yêu cầu HTTP được chế tạo cẩn thận. Lỗ hổng này chưa từng được ghi nhận khai thác trước đây trong thực tế, khiến các cuộc tấn công quan sát được trở thành sự kiện đầu tiên.
Bằng cách chèn các chuỗi traversal như session: "../../tmp/" vào API, kẻ tấn công có thể truy cập dữ liệu hệ thống nhạy cảm. Điều này bao gồm các bản sao lưu cấu hình, số serial và chi tiết phiên bản, mà không cần bất kỳ thông tin đăng nhập nào. Đây là một lỗ hổng zero-day thực sự.
CVE-2026-39808: Lỗi OS Command Injection
Một lỗi OS command injection (CWE-78) ảnh hưởng đến một điểm cuối API của FortiSandbox. Lỗ hổng này cho phép kẻ tấn công không cần xác thực thực thi các lệnh tùy ý với quyền root. Một bản khai thác proof-of-concept công khai đã có sẵn từ tháng 4 năm 2026, vũ khí hóa tham số GET jid thông qua các lệnh Unix được nối bằng dấu pipe. Các payload tấn công phù hợp với PoC này hiện đã được quan sát trong các nỗ lực khai thác trực tiếp.
Các cuộc tấn công sử dụng lỗi này có thể dẫn đến chiếm quyền điều khiển hệ thống hoàn toàn.
CVE-2026-25089: Lỗ Hổng OS Command Injection Thứ Hai
Đây là một lỗ hổng OS command injection khác (CWE-78) ảnh hưởng đến giao diện Web UI của FortiSandbox. Lỗ hổng này tác động đến các phiên bản 5.0.0–5.0.5, 4.4.0–4.4.8, 4.2 (tất cả các phiên bản), cũng như các triển khai FortiSandbox Cloud/PaaS. Điều đáng chú ý là chưa có bản exploit công khai nào được công bố cho CVE này.
Các nỗ lực khai thác được quan sát dường như là “vibecoded”, có khả năng là các exploit được hỗ trợ bởi AI hoặc được tạo theo heuristic với logic lỗi. Điều này cho thấy các tác nhân cơ hội đang thăm dò mà không có payload làm việc đã được xác thực. Đây là một ví dụ về mối đe dọa mạng đang phát triển.
Đặc Điểm Chung Của Các Cuộc Tấn Công
Cả ba CVE đều có thể được kích hoạt mà không cần xác thực, chỉ thông qua một yêu cầu HTTP duy nhất. Điều này có nghĩa là các giao diện quản lý FortiSandbox bị lộ yêu cầu quyền truy cập ban đầu bằng không để có thể khai thác.
Việc khai thác thành công các lỗ hổng này có thể dẫn đến việc hệ thống bị tấn công nghiêm trọng.
Ảnh Hưởng và Rủi Ro Bảo Mật
Một FortiSandbox bị xâm nhập có thể bị vũ khí hóa để phê duyệt các tệp độc hại dưới dạng sạch cho các sản phẩm Fortinet phụ thuộc. Nó cũng có thể đóng vai trò là một điểm xoay để di chuyển ngang (lateral movement) trong mạng doanh nghiệp.
Các rủi ro bảo mật liên quan đến việc khai thác các lỗ hổng này là rất cao, bao gồm việc chiếm quyền kiểm soát hệ thống và khả năng lây lan sang các thành phần khác của hạ tầng mạng.
Thông Tin Kỹ Thuật Chi Tiết
Mã Khai Thác (Exploit)
Một bản proof-of-concept (PoC) công khai đã tồn tại cho CVE-2026-39808, sử dụng tham số jid với các lệnh Unix nối pipe. Các cuộc tấn công quan sát được đã sử dụng các payload phù hợp với PoC này.
Đối với CVE-2026-25089, các nỗ lực khai thác dường như là các exploit “vibecoded” hoặc do AI hỗ trợ, cho thấy sự thiếu chuẩn xác trong logic tấn công.
Dấu Hiệu Nhận Biết Tấn Công (IOC)
Địa chỉ IP của kẻ tấn công được quan sát trong các hoạt động khai thác tích cực là 141.11.43[.]175. Địa chỉ IP này được gán cho AS136510 Streamline Servers Pty Ltd (Singapore) và mang điểm số mối đe dọa cao.
Đây là một phần của thông tin threat intelligence quan trọng.
Biện Pháp Phòng Ngừa và Cập Nhật
Để đối phó với các mối đe dọa này, việc cập nhật các bản vá bảo mật mới nhất cho Fortinet FortiSandbox là cực kỳ quan trọng. Người dùng nên kiểm tra và áp dụng bản vá bảo mật do Fortinet cung cấp để khắc phục các lỗ hổng đã biết.
Ngoài ra, việc giám sát chặt chẽ lưu lượng mạng và các nhật ký hệ thống có thể giúp phát hiện xâm nhập sớm. Các biện pháp phòng ngừa như hạn chế truy cập vào các giao diện quản lý công khai cũng cần được xem xét.
Tham khảo thông tin chi tiết về các lỗ hổng tại NVD: CVE-2026-39813
Việc chủ động vá lỗi và tăng cường các lớp phòng thủ là cần thiết để duy trì an ninh mạng.
