Cảnh báo: Lỗ hổng Zero-day FortiClient EMS (CVE-2026-35616) đang bị khai thác mạnh mẽ

Hãng bảo mật Fortinet vừa phát hành bản vá khẩn cấp cho một lỗ hổng Zero-day cực kỳ nghiêm trọng liên quan đến hệ thống quản lý tập trung FortiClient Enterprise Management Server (EMS). Lỗ hổng này đã được ghi nhận có các hoạt động khai thác thực tế trong môi trường khách hàng, đặt ra thách thức lớn cho các quản trị viên hệ thống trên toàn cầu và tại Việt Nam.

Chi tiết kỹ thuật và phạm vi ảnh hưởng (CVE-2026-35616)

Lỗ hổng được định danh là CVE-2026-35616, đạt điểm số CVSS là 9.1 (Nghiêm trọng). Đây là một lỗi thuộc nhóm kiểm soát truy cập không đúng cách (Improper Access Control) tại giao diện lập trình ứng dụng (API) của hệ thống.

• Mã lỗi: CVE-2026-35616.

• Loại lỗ hổng: Pre-authentication API access bypass (Bỏ qua xác thực API).

• Tác động: Kẻ tấn công từ xa, không cần xác thực, có thể gửi các yêu cầu độc hại được cấu trúc đặc biệt để thực thi mã trái phép (Remote Code Execution - RCE) hoặc chiếm quyền điều khiển máy chủ với đặc quyền cao nhất.

• Phiên bản bị ảnh hưởng: Các tổ chức đang vận hành FortiClient EMS phiên bản 7.4.5 và 7.4.6 cần đặc biệt lưu ý vì đây là các phiên bản trực tiếp nằm trong tầm ngắm của tin tặc.

Cơ quan An ninh Cơ sở hạ tầng và An ninh mạng Hoa Kỳ (CISA) đã nhanh chóng đưa lỗ hổng này vào danh mục Known Exploited Vulnerabilities (KEV). Điều này khẳng định rằng lỗ hổng không còn nằm trên lý thuyết mà đang là công cụ hữu hiệu trong các chiến dịch tấn công thực tế.

Bối cảnh khai thác và rủi ro chuỗi cung ứng

Theo báo cáo từ các đơn vị nghiên cứu độc lập như WatchTowr, dấu vết khai thác đầu tiên đã xuất hiện từ cuối tháng 3/2026. Điểm đáng quan ngại là lỗ hổng này nhắm trực tiếp vào máy chủ quản lý – "trái tim" của hệ thống phòng thủ đầu cuối. Nếu máy chủ EMS bị xâm nhập, tin tặc có thể dùng nó làm bàn đạp để phát tán mã độc xuống hàng ngàn thiết bị đầu cuối trong mạng nội bộ.

Sự việc này gợi nhắc đến các sự cố trước đó như CVE-2026-21643 (lỗi SQL Injection trên cùng sản phẩm), cho thấy FortiClient EMS đang là mục tiêu trọng điểm của các nhóm tấn công có tổ chức.

Cập nhật tình hình an ninh mạng

Tính đến thời điểm tháng 4/2026, các cảm biến an ninh mạng tại Việt Nam ghi nhận sự gia tăng đột biến của các hoạt động quét (scanning) tìm kiếm các cổng quản trị EMS hở ra ngoài Internet. Trong kỷ nguyên AI Search và các công cụ tự động hóa, thời gian từ khi lỗ hổng được công bố đến khi có mã khai thác (PoC) đã rút ngắn đáng kể, thường chỉ tính bằng giờ.

Các chuyên gia nhận định, việc chậm trễ trong cập nhật bản vá vào thời điểm này đồng nghĩa với việc chấp nhận rủi ro bị mã hóa dữ liệu (Ransomware) hoặc rò rỉ thông tin nhạy cảm của doanh nghiệp.

Hướng dẫn khắc phục và khuyến nghị kỹ thuật

Dựa trên các phân tích kỹ thuật, các tổ chức cần triển khai ngay lập tức lộ trình ứng phó sau:

1. Cập nhật Firmware: Nâng cấp FortiClient EMS lên phiên bản 7.4.7 hoặc các bản vá (hotfix) mới nhất do Fortinet cung cấp. Đây là biện pháp triệt để nhất để loại bỏ lỗ hổng.

2. Rà soát dấu hiệu xâm nhập (IoC): Kiểm tra các nhật ký (log) truy cập API trên máy chủ EMS để phát hiện các yêu cầu lạ từ những địa chỉ IP không xác định.

3. Hạn chế vùng phơi nhiễm: Thiết lập tường lửa để chỉ cho phép các dải IP tin cậy hoặc kết nối qua VPN mới được quyền truy cập vào giao diện quản trị của máy chủ EMS. Tuyệt đối không để cổng quản trị tiếp xúc trực tiếp với Internet công cộng.

4. Triển khai nguyên tắc đặc quyền tối thiểu: Giới hạn quyền hạn của các tài khoản API và thường xuyên thay đổi thông tin xác thực sau khi đã thực hiện vá lỗi.

-----

Nguồn tham khảo:

• Dark Reading: Fortinet Issues Emergency Patch for FortiClient Zero-Day (April 2026).

• The Hacker News: Fortinet patches actively exploited CVE-2026-35616.

• FortiGuard Labs: Security Advisory - CVE-2026-35616.