Fortinet đã xác nhận một lỗ hổng nghiêm trọng cho phép vượt qua xác thực trong tính năng FortiCloud SSO của họ. Lỗ hổng này, được định danh là CVE-2026-24858, đang bị khai thác tích cực trong thực tế.
Theo cảnh báo bảo mật được công bố vào ngày 27 tháng 1 năm 2026, lỗ hổng này ảnh hưởng đến nhiều sản phẩm của Fortinet bao gồm FortiOS, FortiManager, FortiAnalyzer và FortiProxy.
Chi tiết Kỹ thuật về CVE-2026-24858
CVE-2026-24858 được đánh giá với điểm CVSSv3 là 9.4 (AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H), phản ánh mức độ nghiêm trọng rất cao của nó.
Lỗ hổng này bắt nguồn từ việc kiểm soát truy cập không đúng cách (CWE-288 – Improper Access Control) trong thành phần giao diện người dùng đồ họa (GUI) của các sản phẩm bị ảnh hưởng.
Cơ chế Khai thác Lỗ hổng
Kẻ tấn công sở hữu một tài khoản FortiCloud và một thiết bị đã đăng ký có thể lợi dụng CVE-2026-24858 để đăng nhập vào các thiết bị khác.
Các thiết bị mục tiêu phải được đăng ký dưới các tài khoản FortiCloud khác, miễn là tính năng FortiCloud SSO được kích hoạt.
Điều quan trọng cần lưu ý là tính năng FortiCloud SSO không được bật theo mặc định.
Tuy nhiên, nó thường được kích hoạt trong quá trình đăng ký FortiCare từ giao diện GUI, trừ khi quản trị viên chủ động tắt tùy chọn “Allow administrative login using FortiCloud SSO”.
Ảnh hưởng sau Khai thác
Sau khi xác thực thành công thông qua lỗ hổng CVE-2026-24858, kẻ tấn công có thể thực hiện một số hành động độc hại.
Các hoạt động chính bao gồm tải xuống các tệp cấu hình của khách hàng để thực hiện trinh sát hệ thống và tạo các tài khoản quản trị viên cục bộ mới.
Điều này dẫn đến khả năng đánh cắp cấu hình và leo thang đặc quyền quản trị trên các thiết bị bị xâm nhập.
Phát hiện và Biện pháp Đối phó của Fortinet
Fortinet đã phát hiện hoạt động khai thác lỗ hổng này bởi hai tài khoản FortiCloud độc hại vào ngày 22 tháng 1 năm 2026.
Để bảo vệ khách hàng, nhà cung cấp đã nhanh chóng vô hiệu hóa FortiCloud SSO ở phía đám mây vào ngày 26 tháng 1.
Tính năng này sau đó được kích hoạt lại vào ngày hôm sau, nhưng với cơ chế chặn đăng nhập từ các phiên bản dễ bị tấn công.
Thông tin chi tiết về cảnh báo bảo mật có thể được tìm thấy tại FortiGuard Labs PSIRT Advisory FG-IR-26-060.
Các Sản phẩm Fortinet bị Ảnh hưởng
Lỗ hổng CVE-2026-24858 đã được xác nhận ảnh hưởng đến các sản phẩm sau:
- FortiOS
- FortiManager
- FortiAnalyzer
- FortiProxy
Ngoài ra, Fortinet đang tiếp tục điều tra các sản phẩm khác bao gồm FortiWeb và FortiSwitch Manager để xác định mức độ ảnh hưởng.
Người dùng cần tham khảo cảnh báo bảo mật chính thức của Fortinet để biết danh sách đầy đủ các phiên bản bị ảnh hưởng và đường dẫn nâng cấp cụ thể.
Biện pháp Khắc phục và Giảm thiểu Rủi ro
Nâng cấp khẩn cấp là biện pháp thiết yếu để bảo vệ hệ thống khỏi các cuộc tấn công khai thác CVE-2026-24858.
Fortinet cung cấp một công cụ hỗ trợ đường dẫn nâng cấp tại Fortinet Upgrade Path Tool để giúp người dùng xác định lộ trình cập nhật phù hợp.
Vô hiệu hóa FortiCloud SSO Cục bộ
Mặc dù FortiCloud SSO hiện đã từ chối các thiết bị dễ bị tấn công ở cấp độ đám mây, việc vô hiệu hóa tính năng này cục bộ vẫn được khuyến nghị nếu không cần thiết.
Quản trị viên có thể thực hiện thao tác này thông qua giao diện GUI hoặc CLI.
Vô hiệu hóa qua GUI:
Để tắt FortiCloud SSO, truy cập một trong các đường dẫn sau trên giao diện quản trị:
- System > Settings (và tắt tùy chọn liên quan)
- System Settings > SAML SSO (và điều chỉnh cấu hình)
Vô hiệu hóa qua CLI (ví dụ trên FortiOS):
Sử dụng các lệnh sau để kiểm tra trạng thái và vô hiệu hóa FortiCloud SSO nếu cần thiết.
config system global
set remoteauthen-forticloud-sso disable
endSau khi thực hiện thay đổi, hãy xác minh cấu hình để đảm bảo tính năng đã được tắt.
Kiểm tra và Giám sát Tài khoản Quản trị
Fortinet khuyến nghị các tổ chức nên rà soát tất cả các tài khoản quản trị hiện có trên các thiết bị của mình.
Mục đích là để phát hiện bất kỳ tài khoản bất thường hoặc trái phép nào có thể đã được tạo ra do việc khai thác lỗ hổng khai thác zero-day này.
Việc kiểm tra định kỳ nhật ký hệ thống và hoạt động đăng nhập là rất quan trọng để phát hiện sớm các dấu hiệu xâm nhập.
Chỉ số Thỏa hiệp (IoC) và Săn lùng Mối đe dọa
Fortinet đã chia sẻ các chỉ số thỏa hiệp (IoC) để hỗ trợ các đội săn lùng mối đe dọa trong việc phát hiện các dấu hiệu xâm nhập liên quan đến lỗ hổng Fortinet này.
Các quản trị viên hệ thống nên xem xét kỹ lưỡng nhật ký hoạt động (logs) để tìm kiếm các dấu hiệu bất thường.
Báo cáo cũng chỉ ra rằng các tác nhân độc hại đã chuyển sang sử dụng các địa chỉ IP được bảo vệ bởi Cloudflare.
Điều này có thể làm phức tạp quá trình theo dõi và cảnh báo, và các chiến dịch tấn công qua email cũng có thể phát triển sau khi các biện pháp đối phó được áp dụng.
Để có thông tin chi tiết nhất về IoC, người dùng cần truy cập trực tiếp vào cảnh báo chính thức của Fortinet.
