Cơ quan An ninh Cơ sở hạ tầng và An ninh mạng (CISA) đã bổ sung hai lỗ hổng Fortinet FortiSandbox nghiêm trọng vào Danh mục các lỗ hổng đã bị khai thác (KEV) của mình. Cảnh báo này nhấn mạnh rằng các lỗ hổng đang bị tin tặc tích cực khai thác trong các cuộc tấn công thực tế, đặt ra nguy cơ cao cho các tổ chức sử dụng sản phẩm này.
Tổng quan về các lỗ hổng CVE nghiêm trọng
Hai lỗ hổng được xác định là CVE-2026-39808 và CVE-2026-25089, cho phép những kẻ tấn công không xác thực thực thi các lệnh hệ điều hành trái phép thông qua các yêu cầu HTTP được chế tạo đặc biệt. Cả hai vấn đề đều được phân loại là lỗ hổng tiêm lệnh hệ điều hành (OS command injection), thuộc loại CWE-78.
Khai thác thành công có thể cho phép kẻ tấn công chạy các lệnh tùy ý trên các thiết bị dễ bị tổn thương mà không cần thông tin xác thực hợp lệ. Đây là một điểm cực kỳ nguy hiểm, biến các lỗ hổng này thành mục tiêu hàng đầu cho các cuộc tấn công mạng.
Chi tiết về CVE-2026-39808
Lỗ hổng CVE-2026-39808 ảnh hưởng trực tiếp đến Fortinet FortiSandbox. Theo CISA, lỗ hổng này có thể cho phép kẻ tấn công từ xa, không cần xác thực, thực thi mã hoặc lệnh trái phép bằng cách gửi các yêu cầu HTTP được chế tạo đến thiết bị mục tiêu. Điều này có nghĩa là kẻ tấn công có thể kiểm soát hoàn toàn hệ thống FortiSandbox mà không cần bất kỳ quyền truy cập ban đầu nào.
Chi tiết về CVE-2026-25089
Lỗ hổng thứ hai, CVE-2026-25089, có phạm vi tác động rộng hơn, ảnh hưởng không chỉ FortiSandbox mà còn cả các môi trường FortiSandbox Cloud và FortiSandbox PaaS. Tương tự như lỗ hổng đầu tiên, nó có thể bị khai thác từ xa bởi những kẻ tấn công không xác thực thông qua các yêu cầu HTTP được chế tạo, có khả năng cho phép thực thi lệnh trực tiếp trên các hệ thống bị ảnh hưởng. Sự mở rộng phạm vi này làm tăng đáng kể rủi ro bảo mật cho các tổ chức sử dụng các dịch vụ đám mây của Fortinet.
Cơ chế khai thác: Tấn công Command Injection
Lỗ hổng tiêm lệnh hệ điều hành (OS command injection) là một loại lỗ hổng bảo mật xảy ra khi một ứng dụng không làm sạch đúng cách dữ liệu đầu vào do người dùng kiểm soát trước khi chuyển nó đến trình thông dịch lệnh của hệ điều hành. Điều này cho phép kẻ tấn công chèn và thực thi các lệnh tùy ý trên máy chủ lưu trữ. Đây là một trong những dạng tấn công phổ biến và nguy hiểm nhất.
Trong trường hợp của lỗ hổng Fortinet FortiSandbox, những kẻ tấn công lợi dụng việc FortiSandbox xử lý các yêu cầu HTTP không đúng cách. Bằng cách chèn các ký tự đặc biệt hoặc cú pháp lệnh vào các trường dữ liệu dự kiến trong một yêu cầu HTTP, kẻ tấn công có thể ép buộc hệ thống chạy các lệnh mong muốn, vượt qua các biện pháp kiểm soát bảo mật thông thường và đạt được quyền kiểm soát hệ thống từ xa.
Ví dụ, nếu một tham số đầu vào không được kiểm tra, kẻ tấn công có thể chèn một chuỗi như ; cat /etc/passwd vào yêu cầu. Khi ứng dụng thực thi chuỗi này trong một lệnh hệ điều hành, nó sẽ không chỉ xử lý thông tin hợp lệ mà còn thực thi cả lệnh cat /etc/passwd, dẫn đến việc rò rỉ thông tin nhạy cảm hoặc thậm chí là remote code execution.
Tầm quan trọng của FortiSandbox và hậu quả khi hệ thống bị xâm nhập
FortiSandbox là một công cụ quan trọng được các tổ chức sử dụng để phát hiện và phân tích các tệp đáng ngờ, URL và mã độc trong các môi trường cô lập, an toàn. Hệ thống này đóng vai trò là tuyến phòng thủ tiên tiến, giúp ngăn chặn các mối đe dọa phức tạp trước khi chúng có thể tiếp cận mạng lưới chính.
Vì các hệ thống này thường xuyên xử lý nội dung có khả năng độc hại và có thể được tích hợp sâu rộng với cơ sở hạ tầng bảo mật tổng thể, việc FortiSandbox bị xâm phạm có thể mang lại cho kẻ tấn công một chỗ đứng đáng kể và quyền truy cập đặc quyền bên trong mạng lưới của một tổ chức. Điều này có thể dẫn đến việc kẻ tấn công có thể tắt các công cụ bảo mật, di chuyển ngang sang các hệ thống khác, đánh cắp dữ liệu nhạy cảm hoặc cài đặt mã độc tống tiền.
Khả năng chiếm quyền điều khiển một hệ thống được thiết kế để phân tích các mối đe dọa biến lỗ hổng Fortinet FortiSandbox thành một mối đe dọa đặc biệt nguy hiểm, có thể làm suy yếu toàn bộ chiến lược an ninh của tổ chức.
Cảnh báo từ CISA và thời hạn khắc phục khẩn cấp
CISA đã bổ sung cả hai lỗ hổng vào Danh mục KEV vào ngày 16 tháng 7 năm 2026, xác nhận rằng chúng đã bị khai thác trong các cuộc tấn công thực tế. Hành động này của CISA nhấn mạnh tính chất nghiêm trọng và mức độ khẩn cấp của việc khắc phục các lỗ hổng này.
Theo Chỉ thị Điều hành Ràng buộc BOD 26-04, các cơ quan điều hành dân sự liên bang phải thực hiện các biện pháp giảm thiểu do nhà cung cấp cung cấp trước ngày 19 tháng 7 năm 2026. Thời hạn khắc phục cực kỳ ngắn ngủi này thể hiện rủi ro đáng kể do các lỗ hổng đang bị khai thác tích cực và có thể dễ dàng truy cập trên internet.
Thông tin chi tiết về các lỗ hổng đã bị khai thác có thể được tìm thấy trong Danh mục KEV của CISA.
Lý do lỗ hổng bị xếp loại nghiêm trọng
Mặc dù CISA chưa xác nhận liệu các lỗ hổng này có được sử dụng trong các chiến dịch mã độc tống tiền (ransomware) hay không, nhưng các tổ chức nên coi chúng là các mối đe dọa có mức độ ưu tiên cao. Kẻ tấn công thường khai thác các lỗ hổng tiêm lệnh để triển khai web shell, thu thập thông tin xác thực, di chuyển ngang qua mạng, tắt các công cụ bảo mật hoặc cài đặt phần mềm độc hại.
Khả năng khai thác từ xa mà không cần xác thực kết hợp với chức năng quan trọng của FortiSandbox trong môi trường bảo mật khiến những CVE nghiêm trọng này trở thành mối lo ngại hàng đầu. Việc khai thác chúng có thể mở đường cho việc chiếm quyền điều khiển hoàn toàn hệ thống.
Các hoạt động hậu khai thác và dấu hiệu tấn công
Sau khi khai thác thành công lỗ hổng Fortinet FortiSandbox, kẻ tấn công có thể thực hiện nhiều hành động độc hại khác nhau để duy trì quyền truy cập và mở rộng phạm vi xâm nhập. Hiểu rõ các hoạt động này là rất quan trọng để phát hiện và ứng phó kịp thời.
Dấu hiệu nhận biết tiềm năng (Indicators of Compromise – IOCs)
Các tổ chức cần chủ động tìm kiếm các dấu hiệu sau trong nhật ký và hoạt động mạng của mình:
- Các yêu cầu HTTP bất thường hoặc bị định dạng sai (malformed HTTP requests) nhắm vào giao diện quản lý FortiSandbox.
- Thực thi lệnh không mong muốn hoặc các tiến trình lạ trên hệ điều hành của FortiSandbox.
- Tạo tài khoản quản trị viên mới hoặc thay đổi quyền truy cập của tài khoản hiện có trên hệ thống FortiSandbox.
- Lưu lượng mạng ra bên ngoài bất thường từ FortiSandbox đến các địa chỉ IP hoặc miền không xác định hoặc có liên quan đến các mối đe dọa.
- Thay đổi cấu hình hệ thống hoặc các tệp tin nhạy cảm một cách không được phép.
- Sự hiện diện của web shell, tệp tin thực thi lạ, hoặc các công cụ tấn công trong các thư mục hệ thống.
Việc theo dõi chặt chẽ các dấu hiệu này giúp đội ngũ bảo mật nhanh chóng phát hiện các hành vi xâm nhập và đưa ra phản ứng kịp thời.
Biện pháp khắc phục và khuyến nghị bảo mật
Để bảo vệ hệ thống khỏi lỗ hổng Fortinet FortiSandbox, việc áp dụng các biện pháp khắc phục và tuân thủ các khuyến nghị bảo mật là điều tối quan trọng. Việc hành động ngay lập tức có thể giảm thiểu đáng kể nguy cơ bị tấn công.
Cập nhật bản vá và hạn chế truy cập
Các quản trị viên được khuyến nghị xem xét kịp thời các thông báo bảo mật của Fortinet và áp dụng tất cả các bản vá bảo mật và biện pháp giảm thiểu có sẵn. Việc trì hoãn cập nhật có thể khiến hệ thống tiếp tục gặp rủi ro cao. Đối với các tổ chức sử dụng FortiSandbox Cloud hoặc FortiSandbox PaaS, cần đảm bảo việc triển khai dịch vụ của họ tuân thủ các yêu cầu vá lỗi và giảm thiểu cần thiết từ nhà cung cấp.
Hạn chế quyền truy cập vào các giao diện quản lý FortiSandbox chỉ từ các địa chỉ IP đáng tin cậy và thông qua các mạng an toàn (ví dụ: VPN) cũng là một biện pháp phòng thủ quan trọng. Điều này làm giảm bề mặt tấn công và khả năng tiếp cận của những kẻ tấn công không được ủy quyền.
Giám sát và ứng phó
Các đội ngũ an ninh nên xác định tất cả tài sản FortiSandbox có thể truy cập internet. Đồng thời, cần xem xét kỹ lưỡng nhật ký HTTP để tìm kiếm các yêu cầu bất thường hoặc bị định dạng sai, và điều tra bất kỳ việc thực thi lệnh không mong muốn hoặc tài khoản quản trị viên mới nào. Việc chủ động giám sát giúp phát hiện sớm các dấu hiệu tấn công và đưa ra phản ứng kịp thời.
Ngoài ra, các tổ chức nên tuân thủ các yêu cầu phân tích pháp y của CISA để đánh giá xem các hệ thống có bị xâm phạm trước khi khắc phục hay không. Nếu các bản vá hoặc biện pháp giảm thiểu không có sẵn, CISA khuyến nghị các tổ chức tuân thủ hướng dẫn dịch vụ đám mây liên quan hoặc ngừng sử dụng các sản phẩm bị ảnh hưởng cho đến khi các rủi ro được giải quyết hoàn toàn.
Cấu hình an toàn cho FortiSandbox
Để tăng cường an toàn thông tin cho FortiSandbox và các hệ thống liên quan, cần triển khai các cấu hình bảo mật mạnh mẽ. Điều này bao gồm việc cô lập mạng (network segmentation) cho FortiSandbox để hạn chế khả năng di chuyển ngang của kẻ tấn công nếu hệ thống bị xâm nhập. Kẻ tấn công sẽ gặp khó khăn hơn trong việc tiếp cận các tài nguyên nhạy cảm khác trong mạng lưới.
Sử dụng xác thực đa yếu tố (MFA) cho tất cả các tài khoản quản trị viên FortiSandbox để tăng cường lớp bảo vệ. Thường xuyên thực hiện kiểm tra an ninh (security audits) và đánh giá lỗ hổng để phát hiện sớm các điểm yếu. Ngoài ra, việc thiết lập các cảnh báo tự động cho các hoạt động đáng ngờ và tích hợp nhật ký FortiSandbox vào hệ thống quản lý sự kiện và thông tin bảo mật (SIEM) sẽ cung cấp khả năng hiển thị toàn diện và phản ứng nhanh chóng trước các mối đe dọa.










