Các tác nhân đe dọa đã tích cực khai thác một lỗ hổng CVE nghiêm trọng (CVE-2025-64446) liên quan đến kỹ thuật path-traversal trong tường lửa ứng dụng web (WAF) Fortinet FortiWeb. Hoạt động khai thác này đã diễn ra từ đầu tháng 10 năm 2025, cho phép kẻ tấn công chưa được xác thực tạo tài khoản quản trị viên giả mạo và chiếm quyền điều khiển hoàn toàn các thiết bị bị phơi nhiễm.
Lỗ hổng này được các nhà nghiên cứu tại watchTowr Labs tiết lộ chi tiết vào ngày 13 tháng 11 năm 2025. Họ đã trình bày một chuỗi các vấn đề về path traversal và bỏ qua xác thực, cho phép vượt qua các cơ chế bảo vệ để truy cập các tập lệnh CGI nhạy cảm.
Phân Tích Kỹ Thuật Lỗ Hổng CVE-2025-64446
Fortinet đã xác nhận việc khai thác trong báo cáo PSIRT (FG-IR-25-910) của mình, gán định danh CVE-2025-64446 cho lỗ hổng này. Các báo cáo cho thấy có những hoạt động quét toàn cầu không chọn lọc nhắm vào các thiết bị FortiWeb có kết nối internet.
Cơ Chế Khai Thác Path Traversal
Cuộc khai thác bắt đầu bằng một kỹ thuật path traversal trong điểm cuối API của giao diện người dùng đồ họa (GUI). Điều này cho phép truy cập trái phép vào tệp nhị phân fwbcgi.
Ví dụ về yêu cầu khai thác ban đầu là:
POST /api/v2.0/cmdb/system/admin%3F/../../../../../cgi-bin/fwbcgi
Bỏ Qua Cơ Chế Xác Thực
Trình xử lý CGI này thông thường thực hiện hai kiểm tra quan trọng: cgi_inputcheck() và cgi_auth() trước khi thực thi các lệnh đặc quyền.
- Hàm
cgi_inputcheck()sẽ vượt qua đối với bất kỳ payload JSON hợp lệ nào hoặc khi các tệp cấu hình không tồn tại. - Hàm
cgi_auth()bị bỏ qua bằng cách mạo danh người dùng thông qua một tiêu đềCGIINFOđược mã hóa Base64. Tiêu đề này chứa thông tin đăng nhập của quản trị viên.
Cấu trúc của tiêu đề CGIINFO bị lợi dụng có thể bao gồm các thông tin như:
{"username": "admin", "profname": "prof_admin", "vdom": "root", "loginname": "admin"}
Kẻ tấn công cung cấp các payload JSON để tạo tài khoản backdoor với hồ sơ prof_admin, quyền truy cập máy chủ tin cậy hoàn toàn (0.0.0.0/0) và mật khẩu tùy chỉnh. Điều này giúp đạt được quyền truy cập liên tục mà không cần mật khẩu hoặc khóa SSH.
Một yêu cầu GET đơn giản đến đường dẫn bị traversal sẽ trả về mã HTTP 200 trên các hệ thống dễ bị tổn thương. Các hệ thống đã được vá lỗi sẽ trả về HTTP 403.
Mức Độ Nghiêm Trọng và Ảnh Hưởng
Lỗ hổng này được phân loại là nghiêm trọng, tạo ra một mối đe dọa mạng đáng kể cho các tổ chức sử dụng FortiWeb.
Điểm CVSS và Tác Động
Điểm cơ sở CVSS v3.1 của CVE-2025-64446 là 9.1 (Critical). Điểm số cao này được thúc đẩy bởi một số yếu tố:
- Độ phức tạp thấp (Low Complexity): Khai thác tương đối dễ dàng.
- Không yêu cầu đặc quyền (No Privileges Required): Kẻ tấn công không cần có bất kỳ quyền hạn nào.
- Tác động cao (High Impact): Ảnh hưởng nghiêm trọng đến tính bảo mật (confidentiality), tính toàn vẹn (integrity) và tính sẵn sàng (availability) của hệ thống.
Mặc dù chưa có xác nhận về việc thực thi mã từ xa (RCE) vượt quá quyền truy cập quản trị viên, nhưng việc chiếm quyền điều khiển WAF bị xâm nhập có nguy cơ dẫn đến di chuyển ngang (lateral movement) trong hệ sinh thái Fortinet.
Lỗ Hổng Zero-Day và Cảnh Báo CISA
Fortinet đã âm thầm phát hành bản vá trong các phiên bản như 8.0.2 trước khi công bố công khai, bỏ qua các chi tiết trong ghi chú ban đầu. Điều này cho thấy đây là một dạng zero-day vulnerability, đã bị khai thác trước khi thông tin được công bố rộng rãi.
CISA đã bổ sung CVE-2025-64446 vào danh mục Known Exploited Vulnerabilities của mình, yêu cầu các cơ quan liên bang khắc phục vào ngày 21 tháng 11 năm 2025. Thông tin chi tiết có thể được tìm thấy tại NVD NIST và CISA KEV Catalog.
Chỉ Dấu Xâm Phạm (IOCs) và Phát Hiện
Các chỉ dấu xâm phạm (IOCs) đóng vai trò quan trọng trong việc phát hiện và ứng phó với các cuộc tấn công khai thác lỗ hổng CVE này.
Danh Sách IOCs
Các chỉ dấu bao gồm:
- Yêu cầu HTTP POST đáng ngờ: Đặc biệt là những yêu cầu sử dụng User-Agent
python-urllib3. - Tiêu đề HTTP CGIINFO: Sự hiện diện của tiêu đề
CGIINFOtrong các yêu cầu. - Payload tạo tài khoản quản trị viên: Các payload nhúng dữ liệu tạo tài khoản quản trị viên.
- Tài khoản người dùng cục bộ mới: Sự xuất hiện của các tài khoản quản trị viên mới, trái phép trong hệ thống.
- Log fwbcgi bất thường: Các bản ghi bất thường từ tệp nhị phân
fwbcgi. - URI traversal trong proxy: Các yêu cầu URI có chứa chuỗi path traversal được phát hiện bởi các hệ thống proxy.
Phát Hiện Sớm và Quy Tắc
Việc khai thác leo thang mạnh mẽ sau các tiết lộ vào tháng 10 từ Defused Cyber, với việc kẻ tấn công quét tìm các máy chủ dễ bị tổn thương thông qua các truy vấn giống Shodan. Các nhà nghiên cứu tại watchTowr đã phát hành một Detection Artefact Generator trên GitHub để tạo các quy tắc YARA/Sigma nhắm mục tiêu vào các tạo phẩm khai thác. Bạn có thể truy cập tại GitHub của watchTowr Labs.
Các nhà phòng thủ nên chủ động săn lùng các tài khoản người dùng cục bộ mới, các bản ghi fwbcgi bất thường và các URI traversal trong hệ thống proxy của họ để phát hiện sớm các dấu hiệu xâm nhập.
Biện Pháp Khắc Phục và Phòng Ngừa
Để bảo vệ hệ thống khỏi lỗ hổng CVE-2025-64446 và các mối đe dọa mạng tương tự, cần áp dụng các biện pháp khắc phục và phòng ngừa toàn diện.
Cập Nhật Bản Vá Khẩn Cấp
Điều quan trọng nhất là thực hiện cập nhật bản vá ngay lập tức. Fortinet đã phát hành các bản vá trong các phiên bản mới hơn. Người dùng cần đảm bảo hệ thống FortiWeb của mình được nâng cấp lên phiên bản an toàn.
Các Biện Pháp Giảm Thiểu Khác
Bên cạnh việc cập nhật bản vá, Fortinet khuyến nghị thực hiện các biện pháp giảm thiểu sau:
- Vô hiệu hóa HTTP/HTTPS: Tắt các giao diện HTTP/HTTPS trên các cổng hướng ra internet của FortiWeb làm giải pháp tạm thời.
- Rà soát nhật ký sau nâng cấp: Thực hiện rà soát kỹ lưỡng các bản ghi (log) sau khi nâng cấp để kiểm tra sự tồn tại của các tài khoản quản trị viên trái phép.
- Phân đoạn mạng: Triển khai phân đoạn mạng để giới hạn khả năng di chuyển ngang của kẻ tấn công trong trường hợp WAF bị xâm nhập.
- Mô hình Zero-Trust: Áp dụng mô hình bảo mật Zero-Trust cho các giao diện quản lý để đảm bảo rằng mọi yêu cầu truy cập đều được xác minh độc lập, bất kể nguồn gốc.
Các chiến dịch khai thác lỗ hổng CVE này vẫn đang diễn ra, đòi hỏi sự cảnh giác và hành động nhanh chóng từ các quản trị viên hệ thống và chuyên gia an ninh mạng.
