Lỗ Hổng SQL Injection Nghiêm Trọng Trong FortiWeb (CVE-2025-25257)
Một lỗ hổng bảo mật nghiêm trọng đã được phát hiện trong tường lửa ứng dụng web Fortinet FortiWeb, cho phép kẻ tấn công không cần xác thực thực thi các lệnh SQL độc hại thông qua giao diện người dùng đồ họa (GUI) của thiết bị. Lỗ hổng này, được định danh là CVE-2025-25257, đặt ra rủi ro đáng kể cho các tổ chức dựa vào FortiWeb để bảo vệ ứng dụng web.
Lỗ hổng này bắt nguồn từ việc không xử lý đúng các ký tự đặc biệt được sử dụng trong các lệnh SQL, một điểm yếu được phân loại là CWE-89 trong cơ sở dữ liệu Common Weakness Enumeration. CWE-89, hay “Improper Neutralization of Special Elements used in SQL Commands”, mô tả tình huống khi một ứng dụng không xử lý hoặc làm sạch đúng cách các đầu vào do người dùng cung cấp trước khi chúng được sử dụng trong các truy vấn SQL. Điều này cho phép kẻ tấn công chèn các ký tự đặc biệt (ví dụ: dấu nháy đơn, dấu chấm phẩy) để thay đổi cấu trúc của truy vấn SQL gốc, thực thi các lệnh cơ sở dữ liệu trái phép. Trong trường hợp của FortiWeb, điểm yếu này cho phép thao túng các truy vấn liên quan đến giao diện quản lý, dẫn đến khả năng thực thi SQL Injection mà không cần xác thực.
Cơ Chế Khai Thác và Mức Độ Nghiêm Trọng
Kẻ tấn công có thể khai thác lỗ hổng này bằng cách gửi các yêu cầu HTTP hoặc HTTPS được tạo đặc biệt đến giao diện quản lý FortiWeb. Phương pháp này cho phép chúng thực thi mã SQL trái phép mà không yêu cầu bất kỳ thông tin đăng nhập nào. Tính chất không xác thực của lỗ hổng đồng nghĩa với việc kẻ tấn công có thể khai thác nó từ xa mà không cần tài khoản hợp lệ, làm cho nó trở nên đặc biệt nguy hiểm.
Fortinet đã gán lỗ hổng này mức độ nghiêm trọng Critical với điểm CVSS v3 là 9.6. Điểm số cao này phản ánh các yếu tố kỹ thuật sau:
* Attack Vector (AV): Network (N): Lỗ hổng có thể bị khai thác qua mạng mà không cần truy cập vật lý vào thiết bị.
* Attack Complexity (AC): Low (L): Việc khai thác không đòi hỏi các điều kiện phức tạp hoặc kiến thức chuyên sâu đặc biệt ngoài việc tạo ra các yêu cầu HTTP/HTTPS độc hại.
* Privileges Required (PR): None (N): Kẻ tấn công không cần bất kỳ đặc quyền nào hoặc thông tin xác thực để thực hiện cuộc tấn công. Đây là yếu tố then chốt góp phần vào mức độ nghiêm trọng cao.
* User Interaction (UI): None (N): Cuộc tấn công không yêu cầu bất kỳ tương tác nào từ người dùng hợp pháp của FortiWeb.
* Scope (S): Unchanged (U): Mặc dù lỗ hổng nằm trong ứng dụng FortiWeb, tác động của nó không trực tiếp phá vỡ các ranh giới bảo mật cấp độ hệ điều hành bên dưới thiết bị. Tuy nhiên, tác động trong phạm vi của FortiWeb là cực kỳ nghiêm trọng.
* Confidentiality (C): High (H): Kẻ tấn công có thể truy cập toàn bộ dữ liệu nhạy cảm được lưu trữ hoặc xử lý bởi FortiWeb, bao gồm cấu hình, thông tin đăng nhập quản trị, nhật ký và dữ liệu ứng dụng web được bảo vệ.
* Integrity (I): High (H): Kẻ tấn công có thể sửa đổi cấu hình FortiWeb, thay đổi quy tắc bảo mật, ghi đè dữ liệu hoặc chèn mã độc vào thiết bị.
* Availability (A): High (H): Kẻ tấn công có thể làm gián đoạn hoặc vô hiệu hóa hoạt động của FortiWeb, từ đó ảnh hưởng đến tính sẵn sàng của các ứng dụng web mà FortiWeb đang bảo vệ.
Sự kết hợp của khả năng truy cập qua mạng, không yêu cầu xác thực, và tiềm năng gây ảnh hưởng toàn diện đến tính bảo mật, tính toàn vẹn và tính sẵn sàng, cho thấy nguy cơ bị đánh cắp dữ liệu, kiểm soát hệ thống, hoặc gián đoạn hoạt động hoàn toàn. Khai thác thành công có thể dẫn đến việc kiểm soát hoàn toàn thiết bị FortiWeb, cho phép kẻ tấn công tắt các biện pháp bảo vệ, chuyển hướng lưu lượng truy cập, hoặc sử dụng thiết bị làm bàn đạp để tấn công sâu hơn vào mạng nội bộ.
Các Phiên Bản Bị Ảnh Hưởng và Biện Pháp Khắc Phục
Lỗ hổng này ảnh hưởng đến nhiều phiên bản FortiWeb trên bốn nhánh chính. Các tổ chức đang sử dụng các phiên bản FortiWeb bị ảnh hưởng nên ưu tiên áp dụng các bản vá lỗi ngay lập tức để ngăn chặn khả năng khai thác.
Fortinet khuyến nghị các bản cập nhật sau:
FortiWeb 7.2.x: Nâng cấp lên FortiWeb 7.2.2 hoặc cao hơn
FortiWeb 7.0.x: Nâng cấp lên FortiWeb 7.0.9 hoặc cao hơn
FortiWeb 6.4.x: Nâng cấp lên FortiWeb 6.4.11 hoặc cao hơn
FortiWeb 6.3.x: Nâng cấp lên FortiWeb 6.3.18 hoặc cao hơn
Đối với các tổ chức không thể áp dụng ngay các bản vá, Fortinet khuyến nghị vô hiệu hóa giao diện quản trị HTTP/HTTPS như một biện pháp khắc phục tạm thời. Việc này có thể được thực hiện thông qua giao diện dòng lệnh (CLI) của thiết bị FortiWeb. Ví dụ, để vô hiệu hóa dịch vụ HTTP trên cổng quản trị, bạn có thể sử dụng lệnh sau:
config system admin setting
set http-port disable
end
Và tương tự cho HTTPS:
config system admin setting
set https-port disable
end
Tuy nhiên, biện pháp giảm thiểu này có thể ảnh hưởng đáng kể đến các hoạt động quản trị, bao gồm khả năng truy cập GUI để giám sát, cấu hình hoặc khắc phục sự cố. Do đó, đây chỉ nên được coi là một biện pháp ngắn hạn và việc áp dụng bản vá vĩnh viễn là ưu tiên hàng đầu. Việc vô hiệu hóa giao diện quản trị GUI từ xa đòi hỏi các quản trị viên phải sử dụng các phương pháp thay thế như truy cập CLI thông qua SSH hoặc console cục bộ, làm tăng độ phức tạp trong quản lý và bảo trì.
Chi Tiết Phát Hiện và Công Bố
Lỗ hổng này được phát hiện bởi Kentaro Kawane từ GMO Cybersecurity by Ierae thông qua các thực hành tiết lộ có trách nhiệm. Fortinet đã ghi nhận đóng góp của nhà nghiên cứu và phối hợp lịch trình công bố một cách thích hợp.
Lỗ hổng ban đầu được công bố vào ngày 8 tháng 7, 2025, với số tham chiếu nội bộ là FG-IR-25-151. Thành phần bị ảnh hưởng trực tiếp là giao diện GUI của FortiWeb, và tác động tiềm năng bao gồm việc thực thi mã hoặc lệnh trái phép trên thiết bị.
Bài Học và Ý Nghĩa Bảo Mật
Lỗ hổng CVE-2025-25257 trong FortiWeb một lần nữa nhấn mạnh tầm quan trọng thiết yếu của việc bảo mật các giao diện quản lý cho các thiết bị bảo mật. Trớ trêu thay, khi chính các tường lửa ứng dụng web – những thiết bị được thiết kế để ngăn chặn các cuộc tấn công tương tự – lại trở nên dễ bị tổn thương, điều này càng làm nổi bật nhu cầu cấp bách về các thực hành phát triển phần mềm an toàn mạnh mẽ trên tất cả các sản phẩm bảo mật.
Các nhà sản xuất cần đảm bảo rằng các sản phẩm bảo mật của họ không chỉ hiệu quả trong việc bảo vệ người dùng mà còn được xây dựng trên một nền tảng vững chắc về bảo mật. Điều này bao gồm việc kiểm tra mã thường xuyên, kiểm tra thâm nhập định kỳ, và tuân thủ các nguyên tắc thiết kế bảo mật ngay từ giai đoạn đầu phát triển sản phẩm. Đối với người dùng cuối, lỗ hổng này là một lời nhắc nhở rằng việc cập nhật và vá lỗi kịp thời là cực kỳ quan trọng, ngay cả đối với các thiết bị được coi là xương sống của hệ thống phòng thủ. Việc lơ là bảo vệ chính các công cụ bảo mật có thể tạo ra điểm yếu chết người trong hạ tầng an ninh tổng thể của một tổ chức.
