Lỗ hổng CVE nghiêm trọng trên Fortinet: Cần vá khẩn cấp

Cơ quan An ninh Cơ sở hạ tầng và An ninh mạng (CISA) đã chính thức bổ sung lỗ hổng CVE-2025-59718 vào danh mục Known Exploited Vulnerabilities (KEV) của mình vào ngày 16 tháng 12 năm 2025. Quyết định này đặt ra thời hạn nghiêm ngặt là ngày 23 tháng 12 năm 2025, yêu cầu các tổ chức phải áp dụng các biện pháp khắc phục cần thiết. Hành động này phản ánh sự khai thác tích cực của lỗ hổng CVE này trên thực tế và mối đe dọa tức thì mà nó gây ra cho các mạng doanh nghiệp.

Tổng quan về Lỗ hổng CVE-2025-59718

Lỗ hổng CVE-2025-59718 ảnh hưởng đến nhiều sản phẩm bảo mật của Fortinet, bao gồm FortiOS, FortiSwitchMaster, FortiProxy và FortiWeb. Lỗ hổng này được phân loại là loại CWE-347: Improper Verification of Cryptographic Signature, chỉ rõ một điểm yếu cụ thể trong cơ chế xác thực.

Cụ thể, lỗ hổng nằm ở việc xác minh chữ ký mã hóa không đúng cách, cho phép kẻ tấn công không được xác thực thực hiện authentication bypass (vượt qua xác thực) của FortiCloud Single Sign-On (SSO). Điều này được thực hiện thông qua việc gửi các thông điệp Security Assertion Markup Language (SAML) được tạo đặc biệt.

Cơ chế khai thác và Tác động

SAML là một tiêu chuẩn mở dựa trên XML để trao đổi dữ liệu xác thực và ủy quyền giữa các bên, cụ thể là giữa nhà cung cấp danh tính và nhà cung cấp dịch vụ. Trong trường hợp này, việc xác minh chữ ký mã hóa không đúng cách trên các thông điệp SAML cho phép kẻ tấn công giả mạo yêu cầu xác thực hợp lệ.

• Kiểu tấn công: Authentication Bypass.
• Điều kiện khai thác: Kẻ tấn công không cần xác thực trước (unauthenticated).
• Phương thức: Gửi thông điệp SAML được tạo thủ công (specially crafted SAML messages).
• Hậu quả: Truy cập mạng trái phép mà không yêu cầu thông tin đăng nhập hợp lệ.

Sự thành công của cuộc tấn công này cung cấp một con đường trực tiếp để truy cập trái phép vào mạng, đặc biệt nguy hiểm đối với các thiết bị biên (edge security appliances) và tường lửa ứng dụng web (web application firewalls) của Fortinet, những hệ thống thường xuyên tiếp xúc trực tiếp với internet.

Thông tin liên quan: CVE-2025-59719

Một lỗ hổng CVE liên quan, CVE-2025-59719, cũng thuộc về cùng một vấn đề cơ bản và được đề cập trong cùng một bản tư vấn bảo mật của Fortinet. Điều này đòi hỏi các biện pháp vá lỗi toàn diện trên tất cả các hệ thống bị ảnh hưởng để đảm bảo bảo vệ hoàn toàn.

Mức độ nghiêm trọng và Điểm CVSS

Mặc dù CISA không công bố điểm CVSS cụ thể trong thông báo KEV, nhưng với tính chất là một lỗ hổng authentication bypass không cần xác thực và có thể dẫn đến truy cập mạng trái phép, lỗ hổng CVE-2025-59718 khả năng cao có điểm CVSS v3.1 ở mức Critical (Nghiêm trọng).

Các yếu tố dự kiến có thể bao gồm:

• Attack Vector (AV): Network (N) – Có thể khai thác qua mạng.
• Attack Complexity (AC): Low (L) – Khai thác tương đối dễ dàng.
• Privileges Required (PR): None (N) – Không yêu cầu đặc quyền.
• User Interaction (UI): None (N) – Không yêu cầu tương tác của người dùng.
• Scope (S): Unchanged (U) – Lỗ hổng không thay đổi phạm vi bảo mật.
• Confidentiality Impact (C): High (H) – Tác động cao đến bảo mật thông tin.
• Integrity Impact (I): High (H) – Tác động cao đến tính toàn vẹn của dữ liệu.
• Availability Impact (A): High (H) – Tác động cao đến khả năng sẵn sàng của hệ thống.

Sự kết hợp này thường dẫn đến điểm CVSS Base Score từ 9.0 đến 10.0, khẳng định mức độ rủi ro cao.

Yêu cầu khắc phục và Tầm quan trọng của KEV

Việc CISA đưa lỗ hổng CVE-2025-59718 vào danh mục KEV của họ là một tín hiệu mạnh mẽ về mức độ nghiêm trọng và yêu cầu hành động khẩn cấp. Danh mục KEV liệt kê các lỗ hổng đã được biết là bị khai thác tích cực bởi các tác nhân đe dọa.

Đối với các cơ quan liên bang và các tổ chức hoạt động dịch vụ đám mây, việc tuân thủ hướng dẫn bảo mật của liên bang là bắt buộc, đặc biệt là theo chỉ thị BOD 22-01.

Biện pháp Khắc phục Khẩn cấp

Fortinet đã phát hành các bản tư vấn dành cho nhà cung cấp để xử lý vấn đề này. Các quản trị viên được yêu cầu áp dụng tất cả các bản vá có sẵn ngay lập tức.

Để khắc phục lỗ hổng CVE này, các tổ chức cần thực hiện các bước sau:

• Kiểm tra danh mục triển khai: Rà soát ngay lập tức kho sản phẩm Fortinet đang hoạt động để xác định tất cả các thiết bị bị ảnh hưởng (FortiOS, FortiSwitchMaster, FortiProxy, FortiWeb).
• Áp dụng bản vá: Triển khai quy trình vá lỗi khẩn cấp trước thời hạn ngày 23 tháng 12 năm 2025. Truy cập cổng thông tin hỗ trợ của Fortinet để tải xuống và cài đặt các bản vá mới nhất.
• Ngừng sử dụng sản phẩm: Trong trường hợp không thể triển khai bản vá ngay lập tức, CISA khuyến nghị ngừng sử dụng sản phẩm cho đến khi các biện pháp giảm thiểu có sẵn và đã được xác minh. Đây là một biện pháp cuối cùng nhưng cần thiết để bảo vệ an ninh mạng.

Ví dụ, việc kiểm tra trạng thái vá lỗi trên thiết bị FortiOS có thể được thực hiện thông qua giao diện dòng lệnh (CLI), mặc dù các bước cụ thể sẽ phụ thuộc vào phiên bản và cấu hình.

diagnose sys fortiguard-service statusget system statusexecute update now

Các lệnh này giúp kiểm tra phiên bản hiện tại, trạng thái cập nhật và kích hoạt quy trình cập nhật. Luôn tham khảo tài liệu chính thức của Fortinet để có hướng dẫn cập nhật chính xác nhất.

Giám sát và Phát triển Mối đe dọa

Thời điểm bổ sung lỗ hổng CVE-2025-59718 vào danh mục KEV là rất quan trọng. Việc khai thác tích cực chỉ ra rằng các tác nhân đe dọa đã và đang tận dụng lỗ hổng CVE này trong các cuộc tấn công hoạt động. CISA hiện chưa kết luận lỗ hổng này có liên quan đến các chiến dịch mã độc tống tiền (ransomware) hay không, nhưng phân loại này có thể thay đổi khi thông tin tình báo về mối đe dọa (threat intelligence) phát triển.

Các nhóm bảo mật cần ưu tiên khắc phục lỗ hổng CVE-2025-59718 trong chu trình quản lý bản vá của họ, đặc biệt là đối với các thiết bị bảo mật biên và tường lửa ứng dụng web được tiếp xúc trực tiếp với internet. Việc không thực hiện vá lỗi kịp thời có thể dẫn đến xâm nhập mạng không cần thông tin đăng nhập, gây ra rủi ro bảo mật nghiêm trọng cho toàn bộ hệ thống doanh nghiệp.