Fortinet vừa chính thức xác nhận một lỗ hổng bảo mật nghiêm trọng đang bị khai thác ngoài thực tế, cho phép tin tặc vượt qua cơ chế xác thực SSO của FortiCloud để chiếm quyền quản trị các thiết bị tường lửa và quản lý tập trung. Đáng lo ngại, các cuộc tấn công này vẫn xảy ra ngay cả trên những hệ thống đã cập nhật bản vá mới nhất, cho thấy đây là một đường tấn công hoàn toàn mới (zero-day), vượt ngoài dự đoán ban đầu của nhà sản xuất.
Lỗ hổng mới được Fortinet gán mã CVE-2026-24858, thuộc nhóm Authentication Bypass Using an Alternate Path or Channel (bỏ qua xác thực thông qua một đường truy cập thay thế). Lỗ hổng tồn tại trong cơ chế FortiCloud Single Sign-On (SSO), một tính năng cho phép quản trị viên đăng nhập và quản lý thiết bị Fortinet thông qua tài khoản FortiCloud.
Sự việc được phát hiện sau khi nhiều khách hàng của Fortinet báo cáo rằng thiết bị FortiGate của họ bị xâm nhập trái phép từ ngày 21/01/2026, dù đang chạy firmware mới nhất. Kẻ tấn công đã sử dụng FortiCloud SSO để đăng nhập, sau đó tạo thêm tài khoản quản trị cục bộ, từ đó chiếm toàn quyền kiểm soát hệ thống.
Ban đầu, các cuộc tấn công bị nghi ngờ là do lỗi vá không triệt để của CVE-2025-59718 (một lỗ hổng FortiCloud SSO khác từng bị khai thác vào tháng 12/2025). Tuy nhiên, điều tra sâu hơn cho thấy đây là một con đường tấn công hoàn toàn khác, vẫn tồn tại ngay cả khi hệ thống đã vá lỗi cũ.
Mã lỗ hổng và mức độ nguy hiểm
-
CVE: CVE-2026-24858
-
Mức độ: Critical
-
Điểm CVSS: 9,4/10
Theo Fortinet, lỗ hổng xuất phát từ kiểm soát truy cập không đầy đủ trong FortiCloud SSO, cho phép kẻ tấn công có tài khoản FortiCloud hợp lệ và một thiết bị đã đăng ký có thể xác thực vào thiết bị của khách hàng khác, miễn là FortiCloud SSO đang được bật.
Đáng chú ý, FortiCloud SSO không bật mặc định, nhưng sẽ tự động được kích hoạt khi thiết bị đăng ký FortiCare, nếu quản trị viên không chủ động tắt sau đó, khiến rất nhiều hệ thống rơi vào trạng thái “bật SSO mà không hay biết”.
Đáng chú ý, FortiCloud SSO không bật mặc định, nhưng sẽ tự động được kích hoạt khi thiết bị đăng ký FortiCare, nếu quản trị viên không chủ động tắt sau đó, khiến rất nhiều hệ thống rơi vào trạng thái “bật SSO mà không hay biết”.
Cơ chế khai thác: Tin tặc đã làm gì?
Qua các log và phân tích từ Fortinet cùng công ty an ninh mạng Arctic Wolf, quá trình tấn công diễn ra với tốc độ tự động hóa rất cao, chỉ trong vài giây:
-
Tin tặc đăng nhập vào FortiGate thông qua FortiCloud SSO
-
Sử dụng các tài khoản FortiCloud độc hại như: "cloud-init@mail[.]io" và "cloud-noc@mail[.]io"
-
Tạo nhanh các tài khoản quản trị cục bộ mới, thường mang tên phổ biến như:
-
admin, system, backup, itadmin, security, svcadmin, remoteadmin…
-
-
Tải xuống toàn bộ file cấu hình thiết bị, bao gồm cấu hình VPN, firewall rule, tài khoản, chứng chỉ
-
Trong nhiều trường hợp, còn kích hoạt hoặc chỉnh sửa cấu hình VPN để duy trì truy cập lâu dài
Các kết nối tấn công được ghi nhận đến từ nhiều địa chỉ IP khác nhau, cho thấy dấu hiệu của hạ tầng ẩn danh hoặc dịch vụ trung gian, khiến việc truy vết trở nên khó khăn hơn.
Phạm vi ảnh hưởng và mức độ nguy hiểm
Lỗ hổng này ảnh hưởng trực tiếp đến:
-
FortiOS
-
FortiManager
-
FortiAnalyzer
Fortinet cũng cho biết đang tiếp tục điều tra khả năng bị ảnh hưởng của FortiWeb và FortiSwitch Manager.
Nguy hiểm hơn, Fortinet cảnh báo rằng vấn đề không chỉ giới hạn ở FortiCloud SSO, mà có thể tồn tại với các triển khai SAML SSO khác, do bản chất lỗi nằm ở cách xử lý xác thực qua SSO. Với đặc thù của thiết bị Fortinet việc bị chiếm quyền quản trị đồng nghĩa với:
Nguy hiểm hơn, Fortinet cảnh báo rằng vấn đề không chỉ giới hạn ở FortiCloud SSO, mà có thể tồn tại với các triển khai SAML SSO khác, do bản chất lỗi nằm ở cách xử lý xác thực qua SSO. Với đặc thù của thiết bị Fortinet việc bị chiếm quyền quản trị đồng nghĩa với:
-
Toàn bộ lưu lượng mạng có thể bị theo dõi hoặc chỉnh sửa
-
VPN và kết nối nội bộ bị lộ
-
Nguy cơ bị cài cửa hậu, phục vụ tấn công lâu dài
-
Rủi ro lan rộng sang các hệ thống khác trong cùng hạ tầng
Fortinet đã làm gì để giảm thiểu rủi ro?
Trong khi bản vá chính thức vẫn đang được phát triển, Fortinet đã triển khai một loạt biện pháp từ phía máy chủ:
-
Ngày 22/1: Vô hiệu hóa các tài khoản FortiCloud bị lợi dụng
-
Ngày 26/1: Tắt toàn bộ FortiCloud SSO trên hệ thống FortiCloud
-
Ngày 27/1: Mở lại FortiCloud SSO nhưng chặn không cho các thiết bị chạy firmware dễ bị tổn thương xác thực qua SSO
Theo Fortinet, biện pháp này đã đủ để ngăn chặn việc khai thác, ngay cả khi FortiCloud SSO vẫn bật trên thiết bị, và người dùng không cần thao tác gì thêm ở phía client cho đến khi có bản vá.
Người dùng và quản trị viên cần làm gì ngay lúc này?
Dù đã có biện pháp giảm thiểu, các chuyên gia an ninh mạng vẫn khuyến cáo:
-
Rà soát toàn bộ tài khoản quản trị trên thiết bị, đặc biệt các tài khoản lạ
-
Kiểm tra log để phát hiện dấu hiệu đăng nhập FortiCloud SSO bất thường
-
Nếu phát hiện các chỉ báo tấn công, coi thiết bị đã bị xâm nhập hoàn toàn
-
Khôi phục cấu hình từ bản sao lưu sạch
-
Thay đổi toàn bộ mật khẩu và thông tin xác thực liên quan
Trong trường hợp muốn chủ động phòng ngừa cao hơn, quản trị viên có thể tạm thời vô hiệu hóa FortiCloud SSO bằng cấu hình:
Sự cố CVE-2026-24858 cho thấy, ngay cả các hệ thống đã được vá đầy đủ vẫn có thể tồn tại những “đường tắt” nguy hiểm trong cơ chế xác thực, đặc biệt là với các mô hình đăng nhập tập trung như SSO. Với các thiết bị hạ tầng quan trọng như Fortinet, chỉ một lỗ hổng nhỏ trong xác thực cũng có thể dẫn tới hậu quả ở quy mô lớn.
Đối với doanh nghiệp và tổ chức, không chỉ phụ thuộc vào vá lỗi mà còn cần giám sát liên tục, rà soát cấu hình và hiểu rõ các tính năng đang được bật trên hệ thống của mình. Trong bối cảnh các cuộc tấn công ngày càng tinh vi và tự động hóa cao, chủ động phòng thủ vẫn là yếu tố then chốt để giảm thiểu rủi ro an ninh mạng.
Đối với doanh nghiệp và tổ chức, không chỉ phụ thuộc vào vá lỗi mà còn cần giám sát liên tục, rà soát cấu hình và hiểu rõ các tính năng đang được bật trên hệ thống của mình. Trong bối cảnh các cuộc tấn công ngày càng tinh vi và tự động hóa cao, chủ động phòng thủ vẫn là yếu tố then chốt để giảm thiểu rủi ro an ninh mạng.
WhiteHat