Một chiến dịch tấn công mạng trên diện rộng đã thành công xâm nhập vào hàng chục hệ thống Fortinet FortiWeb thông qua việc triển khai webshell. Chiến dịch này đã khai thác một lỗ hổng nghiêm trọng mà mã proof-of-concept (PoC) của nó đã được công bố công khai chỉ vài ngày trước đó. Việc PoC bị vũ khí hóa nhanh chóng chứng tỏ những rủi ro tức thì mà các tổ chức phải đối mặt khi các lỗ hổng bảo mật trở thành kiến thức công khai.
Chi tiết về lỗ hổng CVE-2025-25257
Mô tả lỗ hổng và mức độ nghiêm trọng
Các cuộc tấn công tập trung vào CVE-2025-25257, một lỗ hổng SQL injection nghiêm trọng, tiền xác thực (pre-authenticated) ảnh hưởng đến các hệ thống Tường lửa ứng dụng web (WAF) FortiWeb của Fortinet. Lỗ hổng này có điểm CVSS nghiêm trọng là 9.6 trên 10, cho phép những kẻ tấn công không cần xác thực thực thi mã trái phép từ xa bằng cách gửi các yêu cầu HTTP được chế tạo đặc biệt đến các hệ thống dễ bị tổn thương.
Lỗ hổng này tồn tại cụ thể trong thành phần FortiWeb Fabric Connector, một thành phần tích hợp WAF với các sản phẩm bảo mật khác của Fortinet.
Lịch sử phát hiện và công bố PoC
Lỗ hổng này được phát hiện bởi nhà nghiên cứu bảo mật Kentaro Kawane thuộc GMO Cybersecurity. Fortinet đã công bố thông tin về lỗ hổng vào ngày 8 tháng 7 năm 2025. Tuy nhiên, tình hình an ninh mạng đã thay đổi đáng kể vào ngày 11 tháng 7 khi công ty an ninh mạng WatchTowr cùng các đồng phát hiện đã công bố các khai thác proof-of-concept (PoC).
Những khai thác PoC này đã chứng minh cách thức mà những kẻ tấn công có thể lợi dụng các kỹ thuật SQL injection để cấy webshell hoặc thiết lập các reverse shell trên các thiết bị dễ bị tổn thương, từ đó cung cấp quyền truy cập và kiểm soát liên tục.
Chiến dịch tấn công và Thống kê xâm nhập hiện tại
Hoạt động khai thác được theo dõi
Tổ chức giám sát mối đe dọa hàng đầu, Shadowserver Foundation, đã theo dõi chiến dịch khai thác này kể từ khi nó bắt đầu vào ngày 11 tháng 7. Dữ liệu mới nhất của họ tiết lộ những thống kê đáng lo ngại về phạm vi của các hệ thống đã bị xâm nhập.
Hoạt động khai thác CVE-2025-25257 đã được Shadowserver quan sát thấy kể từ ngày 11 tháng 7. Vào ngày 14 tháng 7 năm 2025, đã có 85 trường hợp Fortinet FortiWeb bị xâm nhập với webshell. Con số này đã giảm xuống còn 77 trường hợp vào ngày 15 tháng 7 năm 2025.
Thống kê các trường hợp bị ảnh hưởng
Các trường hợp hệ thống Fortinet FortiWeb bị xâm nhập với webshell có khả năng thông qua CVE-2025-25257 được Shadowserver Foundation ghi nhận như sau:
- Ngày 14 tháng 7 năm 2025: 85 trường hợp bị xâm nhập.
- Ngày 15 tháng 7 năm 2025: 77 trường hợp bị xâm nhập.
Việc giảm từ 85 xuống còn 77 trường hợp bị xâm nhập được xác nhận cho thấy một số tổ chức đang triển khai thành công các biện pháp khắc phục. Tuy nhiên, hàng trăm hệ thống đang phơi bày khác vẫn là một mối lo ngại đáng kể đối với cộng đồng an ninh mạng.
Với vai trò của các hệ thống FortiWeb [FG-IR-25-151] là cơ sở hạ tầng bảo mật quan trọng cho các doanh nghiệp lớn và cơ quan chính phủ, việc xâm nhập vào các thiết bị này đặt ra một rủi ro bảo mật đáng kể. Rủi ro này không chỉ giới hạn ở các nạn nhân trực tiếp mà còn mở rộng đến các tổ chức và ứng dụng mà chúng bảo vệ.
Biện pháp khắc phục và khuyến nghị của Fortinet
Cập nhật phiên bản bảo mật
Fortinet đã phản ứng nhanh chóng với mối đe dọa bằng cách phát hành các bản vá lỗi và cung cấp hướng dẫn cho khách hàng bị ảnh hưởng. Công ty khuyến nghị mạnh mẽ việc nâng cấp ngay lập tức lên các phiên bản bảo mật, bao gồm:
- FortiWeb 7.6.4
- FortiWeb 7.4.8
- FortiWeb 7.2.11
- FortiWeb 7.0.11
- Hoặc các bản phát hành mới hơn.
Giải pháp tạm thời
Đối với các tổ chức chưa thể triển khai các bản vá ngay lập tức, Fortinet khuyến nghị vô hiệu hóa giao diện quản trị HTTP/HTTPS như một giải pháp tạm thời để chặn vector tấn công chính.
config system admin
set http-admin disable
set https-admin disable
end
Lệnh CLI trên sẽ vô hiệu hóa cả giao diện quản trị HTTP và HTTPS, giúp loại bỏ điểm truy cập chính mà kẻ tấn công khai thác lỗ hổng này. Việc triển khai các biện pháp khắc phục và cập nhật hệ thống là tối quan trọng để bảo vệ chống lại chiến dịch tấn công đang diễn ra.
