Khẩn cấp: Lỗ hổng CVE FortiSIEM nghiêm trọng, RCE không xác thực

Fortinet đã công bố một lỗ hổng CVE nghiêm trọng liên quan đến việc chèn lệnh hệ điều hành (OS Command Injection) trong sản phẩm FortiSIEM. Lỗ hổng này được công bố vào ngày 13 tháng 01 năm 2026, cảnh báo người dùng về một rủi ro cao cho phép kẻ tấn công không cần xác thực thực thi mã tùy ý từ xa.

Phân tích Kỹ thuật Lỗ hổng FortiSIEM

CVE-2025-64155: Chi tiết Kỹ thuật

Lỗ hổng được định danh là CVE-2025-64155. Nó bắt nguồn từ việc xử lý không đúng các phần tử đặc biệt trong các lệnh hệ điều hành (CWE-78) trong thành phần phMonitor của FortiSIEM. Thành phần này hoạt động trên cổng TCP 7900.

Kẻ tấn công có thể tạo ra các yêu cầu TCP độc hại để gửi tới các node Super và Worker. Việc này có thể dẫn đến việc chiếm quyền điều khiển toàn bộ hệ thống.

Đánh giá Mức độ Nghiêm trọng CVSS v3.1

Lỗ hổng này có điểm CVSS v3.1 cơ bản là 9.4. Đây là mức độ Nghiêm trọng (Critical) theo thang điểm CVSS.

Vector CVSS đầy đủ là AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H. Điều này chỉ ra các đặc điểm sau:

• AV:N (Attack Vector: Network): Lỗ hổng có thể bị khai thác qua mạng.
• AC:L (Attack Complexity: Low): Độ phức tạp tấn công thấp, dễ thực hiện.
• PR:N (Privileges Required: None): Kẻ tấn công không cần bất kỳ đặc quyền nào.
• UI:N (User Interaction: None): Không yêu cầu tương tác của người dùng.
• S:U (Scope: Unchanged): Phạm vi ảnh hưởng không thay đổi.
• C:H (Confidentiality Impact: High): Tác động cao đến tính bảo mật dữ liệu.
• I:H (Integrity Impact: High): Tác động cao đến tính toàn vẹn của dữ liệu.
• A:H (Availability Impact: High): Tác động cao đến tính khả dụng của hệ thống.

Điểm số này nhấn mạnh tính nghiêm trọng của lỗ hổng CVE, đòi hỏi các biện pháp khắc phục khẩn cấp.

Cơ chế Khai thác và Ảnh hưởng Hệ thống

Kẻ tấn công không cần xác thực có thể khai thác lỗ hổng CVE-2025-64155 để thực thi mã từ xa. Điều này có thể dẫn đến nhiều hậu quả nghiêm trọng, bao gồm:

• Remote Code Execution (RCE): Thực thi mã tùy ý trên hệ thống FortiSIEM bị ảnh hưởng.
• Đánh cắp dữ liệu: Truy cập và lấy cắp thông tin nhạy cảm.
• Duy trì truy cập (Persistence): Thiết lập các cơ chế để duy trì quyền truy cập vào môi trường sử dụng FortiSIEM cho việc quản lý thông tin và sự kiện bảo mật (SIEM).

Đây là một nguy cơ bảo mật đáng kể đối với các tổ chức phụ thuộc vào FortiSIEM.

Hệ thống Bị Ảnh hưởng và Biện pháp Khắc phục

Các Phiên bản FortiSIEM Dễ Bị Tổn Thương

Lỗ hổng này ảnh hưởng đến nhiều phiên bản của FortiSIEM. Tuy nhiên, các node Collector không bị ảnh hưởng bởi lỗ hổng CVE này.

Các tổ chức đang vận hành các phiên bản dễ bị tấn công trong môi trường sản xuất phải đối mặt với rủi ro gia tăng. Đặc biệt là trong các triển khai SIEM lai hoặc tại chỗ.

Khuyến nghị và Cập nhật Bản vá Bảo mật

Fortinet đã công bố khuyến nghị về bản vá bảo mật và các biện pháp giảm thiểu. Người dùng được khuyến nghị thực hiện nâng cấp hoặc di chuyển hệ thống ngay lập tức.

Một biện pháp khắc phục tạm thời là hạn chế quyền truy cập vào cổng TCP 7900 thông qua tường lửa. Điều này giúp ngăn chặn các yêu cầu độc hại từ mạng bên ngoài.

Các khuyến nghị chi tiết và thông tin về cập nhật bản vá có thể được tìm thấy trong cảnh báo bảo mật chính thức của Fortinet: FG-IR-25-772.

Giám sát và Phát hiện Xâm nhập

Fortinet cũng đề xuất kiểm tra nhật ký (audit logs) để tìm kiếm các lưu lượng truy cập bất thường trên cổng TCP/7900. Việc giám sát này có thể giúp phát hiện các nỗ lực khai thác hoặc dấu hiệu của một cuộc tấn công.

Các lệnh CLI để kiểm tra kết nối có thể bao gồm (tùy thuộc vào hệ điều hành của FortiSIEM hoặc thiết bị giám sát mạng):

netstat -an | grep 7900tcpdump -i <interface> port 7900

Việc theo dõi chặt chẽ lưu lượng mạng là cần thiết để bảo vệ hệ thống khỏi lỗ hổng CVE này.

Bối cảnh và Ý nghĩa Bảo mật

Nguồn gốc Khám phá Lỗ hổng

Lỗ hổng này được báo cáo một cách có trách nhiệm bởi nhà nghiên cứu bảo mật Zach Hanley (@hacks_zach) từ Horizon3.ai. Việc báo cáo được thực hiện trong khuôn khổ chương trình của Fortinet.

Mặc dù chưa có bằng chứng về việc khai thác tích cực, tính chất không yêu cầu xác thực của lỗ hổng CVE này đòi hỏi các tổ chức phải hành động khẩn cấp.

Nguyên tắc Kiến trúc Bảo mật và Phòng ngừa Tấn công

Sự cố này một lần nữa nhấn mạnh tầm quan trọng của việc triển khai phân đoạn mạng theo nguyên tắc đặc quyền tối thiểu (least-privilege network segmentation) trong kiến trúc SIEM. Việc hạn chế quyền truy cập mạng vào các thành phần quan trọng có thể giảm thiểu đáng kể rủi ro từ các lỗ hổng CVE tương tự.

Kiến trúc bảo mật vững chắc, kết hợp với việc cập nhật bản vá định kỳ và giám sát chủ động, là chìa khóa để bảo vệ môi trường công nghệ thông tin.