Bộ ba lỗ hổng nghiêm trọng trên Fortinet FortiSandbox đang bị tấn công
- Kamy Le
- 22 giờ trước
- 3 phút đọc
Mới đây, công ty tình báo mối đe dọa mạng Defused đã phát lời cảnh báo quan trọng về việc hệ thống FortiSandbox của Fortinet đang trở thành mục tiêu trong các cuộc tấn công khai thác lỗ hổng. Bởi vai trò chốt chặn quan trọng của FortiSandbox, việc hệ thống này bị nhắm mục tiêu đang thu hút sự chú ý lớn từ giới công nghệ.
Đối với các doanh nghiệp, FortiSandbox giống như một "hộp cát bảo mật" ứng dụng trí tuệ nhân tạo (AI), có nhiệm vụ cô lập và phân tích các loại mã độc hoặc mối đe dọa chưa từng biết tới. Đây là nền tảng cốt lõi giúp các sản phẩm an ninh khác của Fortinet chặn đứng nguy cơ một cách tự động.
Điểm mặt 3 lỗ hổng bảo mật nằm trong tầm ngắm
Theo các nghiên cứu được công bố, kẻ tấn công đang tìm cách lợi dụng cùng lúc ba điểm yếu khác nhau trên hệ thống FortiSandbox. Cụ thể bao gồm:
CVE-2026-25089 (Lỗ hổng chèn lệnh hệ điều hành): Lỗi này ảnh hưởng trực tiếp đến giao diện người dùng trên nền web của FortiSandbox, bao gồm cả các phiên bản đám mây (FortiSandbox Cloud và PaaS). Kẻ tấn công không cần tài khoản vẫn có thể gửi các yêu cầu HTTP được chỉnh sửa đặc biệt để ép hệ thống chạy các lệnh trái phép. Lỗ hổng này mới được vá vào ngày 9 tháng 6 vừa qua nhờ công lao phát hiện của chuyên gia Adham El Karn thuộc đội bảo mật Fortinet.
CVE-2026-39808 (Lỗ hổng chèn lệnh hệ điều hành): Được công bố lần đầu vào tháng 4, lỗ hổng này cũng cho phép kẻ tấn công thực thi các đoạn mã hoặc lệnh nguy hiểm thông qua các yêu cầu HTTP giả mạo mà không cần qua bước xác thực.
CVE-2026-39813 (Lỗ hổng duyệt thư mục - Path Traversal): Cũng được phát hiện vào tháng 4, lỗi này nằm trong giao diện lập trình ứng dụng JRPC API của hệ thống. Tin tặc có thể lợi dụng nó để đi đường vòng, vượt qua hoàn toàn bước đăng nhập thông thường của hệ thống.
Hiện tại, phía Fortinet cho biết họ đã phát hành bản vá lỗi thành công cho cả ba lỗ hổng kể trên.
Tin tặc ẩn danh và mối đe dọa từ mã khai thác bằng AI
Dù các cảnh báo đã được đưa ra, các chuyên gia tại Defused thừa nhận họ vẫn chưa có thông tin chi tiết về việc những khách hàng nào đã bị ảnh hưởng trực tiếp, kẻ đứng sau các chiến dịch này là ai, hay chúng đã làm những gì sau khi đột nhập thành công. Về phía nhà sản xuất, Fortinet hiện vẫn chưa đưa ra lời xác nhận chính thức nào về các vụ khai thác thành công trong môi trường thực tế.
Đáng chú ý: Các chuyên gia phát hiện ra rằng mã khai thác dành cho lỗ hổng CVE-2026-25089 có dấu hiệu được tạo ra bằng công nghệ AI (thường gọi là mã vibecoded). Dù đoạn mã này dường như vẫn đang bị lỗi và chưa hoạt động hoàn hảo, nhưng nó là một tín hiệu đáng lo ngại.
Trong lịch sử, FortiSandbox vốn không phải là mục tiêu hàng đầu của tin tặc. Tuy nhiên, sự xuất hiện của AI đang làm hạ thấp rào cản công nghệ, giúp việc nghiên cứu lỗ hổng và viết mã độc diễn ra nhanh hơn. Điều này đồng nghĩa với việc tội phạm mạng sẽ có xu hướng giăng lưới rộng hơn và tấn công vào bất kỳ lỗ hổng nào vừa mới lộ diện.
Chuỗi ngày áp lực của Fortinet
Làn sóng tấn công lần này tiếp tục nối dài chuỗi thách thức về bảo mật mà Fortinet phải đối mặt trong thời gian qua. Chỉ mới vào tháng 4 trước đó, một lỗ hổng nghiêm trọng dạng "Zero-day" (lỗ hổng chưa có bản vá tại thời điểm bị tấn công) nằm trên hệ thống quản lý FortiClient Endpoint Management Server cũng đã bị các nhóm tấn công khai thác triệt để, buộc công ty phải tung ra một bản vá khẩn cấp ngay sau đó.
Tóm lại, dù các lỗ hổng trên FortiSandbox đã được xử lý về mặt kỹ thuật, việc các công cụ AI hỗ trợ hackers đang trở nên phổ biến là lời nhắc nhở thực tế cho các quản trị viên hệ thống: Hãy luôn cập nhật các bản vá bảo mật mới nhất càng sớm càng tốt để bảo vệ doanh nghiệp trước các rủi ro công nghệ luôn rình rập.
Nguồn tham khảo: CybersecurityDive
Bình luận