Cảnh báo: Lỗ hổng CVE nghiêm trọng đe dọa Fortinet FortiCloud SSO

Hơn 25.000 thiết bị Fortinet trên toàn cầu với tính năng FortiCloud Single Sign-On (SSO) được kích hoạt đã bị phát hiện phơi nhiễm, tạo ra nguy cơ tiềm tàng cho các cuộc tấn công từ xa. Tình trạng này làm dấy lên những lỗ hổng CVE nghiêm trọng và các rủi ro bảo mật đáng lo ngại cho các tổ chức sử dụng giải pháp của Fortinet.

Phát hiện này xuất phát từ báo cáo “Device Identification” mới, sử dụng kỹ thuật nhận dạng thiết bị nâng cao để quét các địa chỉ IP toàn cầu. Các hệ thống bị gắn cờ là đang công khai quảng cáo cấu hình FortiCloud SSO của chúng.

Nội dung

Phát Hiện Hệ Thống Fortinet FortiCloud SSO Bị Lộ Diện

Phân Tích Các Lỗ Hổng CVE Nghiêm Trọng Liên Quan Đến FortiCloud SSO

Chi Tiết Lỗ Hổng CVE-2025-59718

Chi Tiết Lỗ Hổng CVE-2025-59719

Các Biện Pháp Khắc Phục và Cập Nhật Bản Vá Bảo Mật Cho Fortinet FortiCloud SSO

Khuyến Nghị Bảo Mật và Best Practices khi Triển Khai FortiCloud SSO

Phát Hiện Hệ Thống Fortinet FortiCloud SSO Bị Lộ Diện

FortiCloud SSO là một cơ chế hợp lý hóa quá trình xác thực cho toàn bộ hệ sinh thái của Fortinet, bao gồm tường lửa FortiGate, thiết bị chuyển mạch FortiSwitch và các điểm truy cập FortiAP. Mặc dù tính năng này mang lại sự tiện lợi đáng kể cho các doanh nghiệp trong việc quản lý tập trung và truy cập tài nguyên, việc phơi bày công khai cấu hình này có thể cung cấp thông tin quý giá cho kẻ tấn tấn công, khuyến khích chúng tìm kiếm các điểm yếu.

Tổ chức Shadowserver Foundation đã xác định được ít nhất 25.000 địa chỉ IP duy nhất trên nhiều khu vực khác nhau, bao gồm Bắc Mỹ, Châu Âu và Châu Á-Thái Bình Dương. Nhóm nghiên cứu nhấn mạnh rằng: “Đây không chỉ là nhiễu, mà là một tín hiệu rõ ràng về các giao diện quản lý bị phơi nhiễm.”

Việc bổ sung khả năng nhận dạng thiết bị Fortinet với FortiCloud SSO được kích hoạt vào báo cáo “Device Identification” của Shadowserver đã giúp họ theo dõi chính xác số lượng lớn các hệ thống bị phơi nhiễm này. Mặc dù sự hiện diện trên các bản quét không nhất thiết khẳng định một thiết bị đã bị khai thác, nó báo hiệu một rủi ro tiềm tàng cần được kiểm tra và xử lý khẩn cấp.

Phân Tích Các Lỗ Hổng CVE Nghiêm Trọng Liên Quan Đến FortiCloud SSO

Sự phơi nhiễm của các thiết bị Fortinet FortiCloud SSO đang gây ra báo động cao trong bối cảnh các lỗ hổng Fortinet gần đây. Đặc biệt, hai lỗ hổng được đánh giá mức độ nghiêm trọng cao theo thang điểm CVSS (Common Vulnerability Scoring System) là CVE-2025-59718 và CVE-2025-59719, đều ảnh hưởng đến các hệ thống tích hợp FortiCloud.

Các lỗ hổng này không chỉ đơn thuần là vấn đề cấu hình sai, mà còn liên quan đến các khiếm khuyết trong thiết kế hoặc triển khai của cơ chế SSO, cho phép kẻ tấn công thực hiện các hành vi độc hại nếu hệ thống không được vá hoặc cấu hình đúng cách.

Chi Tiết Lỗ Hổng CVE-2025-59718

Mã định danh CVE: CVE-2025-59718
Điểm CVSS: 8.2 (Cao)
Mô tả: Lỗ hổng này liên quan đến các kiểm soát truy cập không đúng trong các điểm cuối của FortiCloud SSO. Điều này có thể cho phép kẻ tấn công từ xa không cần xác thực bỏ qua các cơ chế xác thực dưới các điều kiện cụ thể. Việc bỏ qua xác thực có thể dẫn đến truy cập trái phép vào các tài nguyên hoặc chức năng quản trị mà lẽ ra chỉ những người dùng được ủy quyền mới có thể truy cập.
Tác động tiềm tàng: Chiếm quyền điều khiển hệ thống, truy cập dữ liệu nhạy cảm hoặc thực thi mã từ xa, tùy thuộc vào quyền hạn mà điểm cuối SSO bị ảnh hưởng cung cấp. Thông tin chi tiết về CVE-2025-59718 tại NVD.

Chi Tiết Lỗ Hổng CVE-2025-59719

Mã định danh CVE: CVE-2025-59719
Điểm CVSS: 7.5 (Cao)
Mô tả: Lỗ hổng này khai thác việc xử lý phiên yếu (weak session handling). Việc xử lý phiên không an toàn có thể cho phép kẻ tấn công cướp quyền truy cập vào phiên của người dùng hợp lệ. Nếu kết hợp với các kỹ thuật tấn công khác như lừa đảo (phishing) hoặc tấn công vét cạn (brute-force), lỗ hổng này có thể dẫn đến việc chiếm quyền tài khoản hoàn toàn.
Tác động tiềm tàng: Chiếm quyền tài khoản, truy cập vào các dịch vụ và dữ liệu liên quan đến tài khoản bị chiếm đoạt.

Điều quan trọng cần lưu ý là không phải mọi thiết bị bị phơi nhiễm đều tự động dễ bị tổn thương. Tình trạng cập nhật bản vá, các sắc thái cấu hình cụ thể và việc phân đoạn mạng đóng vai trò then chốt trong việc xác định mức độ rủi ro thực tế. Các nhà nghiên cứu cảnh báo: “Sự hiện diện trên bản quét của chúng tôi không xác nhận rủi ro khai thác.”

Các Biện Pháp Khắc Phục và Cập Nhật Bản Vá Bảo Mật Cho Fortinet FortiCloud SSO

Fortinet đã phát hành các bản sửa lỗi trong các bản cập nhật firmware tháng 12 năm 2025 của mình (ví dụ: FortiOS 7.4.4 và 7.2.9). Các quản trị viên được khuyến nghị mạnh mẽ nên cập nhật bản vá bảo mật và vô hiệu hóa việc phơi nhiễm FortiCloud SSO công khai nếu có thể.

Việc triển khai các bản vá kịp thời là bước quan trọng nhất để giảm thiểu rủi ro từ các lỗ hổng CVE này. Các tổ chức cần thiết lập một quy trình quản lý bản vá hiệu quả để đảm bảo rằng tất cả các thiết bị Fortinet, đặc biệt là những thiết bị sử dụng FortiCloud SSO, luôn được cập nhật phiên bản firmware mới nhất.

Khuyến Nghị Bảo Mật và Best Practices khi Triển Khai FortiCloud SSO

Để tăng cường an ninh mạng và bảo vệ các thiết bị Fortinet khỏi các cuộc tấn công nhắm vào FortiCloud SSO, các tổ chức nên tuân thủ các thực hành bảo mật tốt nhất sau:

Hạn chế truy cập FortiCloud: Chỉ cho phép truy cập FortiCloud thông qua VPN hoặc từ các địa chỉ IP riêng, không công khai trên internet. Điều này giảm thiểu bề mặt tấn công và yêu cầu kẻ tấn công phải vượt qua ít nhất một lớp bảo mật khác trước khi tiếp cận được giao diện SSO.
Kích hoạt xác thực đa yếu tố (MFA): Áp dụng MFA cho tất cả các tài khoản truy cập FortiCloud SSO. MFA bổ sung một lớp bảo mật quan trọng, ngay cả khi thông tin đăng nhập bị lộ, kẻ tấn công vẫn không thể truy cập nếu không có yếu tố xác thực thứ hai.
Giám sát nhật ký: Liên tục theo dõi nhật ký hệ thống để phát hiện lưu lượng truy cập SSO bất thường hoặc các nỗ lực xác thực không thành công. Các công cụ SIEM (Security Information and Event Management) có thể giúp tự động hóa quá trình này và cảnh báo kịp thời về các mối đe dọa tiềm ẩn.
Thực hiện quét lỗ hổng: Các tổ chức nên ưu tiên thực hiện quét định kỳ bằng các công cụ như Shodan hoặc các dịch vụ quét chuyên nghiệp để xác định các giao diện quản lý bị phơi nhiễm công khai. Khách hàng của Fortinet có thể truy vấn cổng hỗ trợ của hãng để được đánh giá phù hợp với hệ thống của mình.
Phân đoạn mạng: Triển khai phân đoạn mạng để tách biệt các thiết bị quản lý Fortinet và các dịch vụ SSO khỏi các mạng nội bộ khác, giảm thiểu khả năng lây lan của một cuộc tấn công nếu một thiết bị bị xâm nhập.

Trong bối cảnh an ninh dựa trên đám mây đang ngày càng làm mờ ranh giới giữa truy cập tại chỗ và truy cập từ xa, việc cảnh giác và chủ động áp dụng các biện pháp bảo mật là điều tối quan trọng để ngăn chặn các mối đe dọa từ xa nhắm vào các dịch vụ như Fortinet FortiCloud SSO.