Nghiêm trọng: Lỗ hổng CVE zero-day Fortinet bị khai thác

Fortinet vừa phát hành một **bản vá khẩn cấp** sau khi các nhà nghiên cứu bảo mật công bố một **lỗ hổng zero-day** nghiêm trọng trong FortiClient EMS. Lỗ hổng này hiện đang bị khai thác tích cực bởi các tác nhân đe dọa.

Lỗ hổng CVE này, được theo dõi với mã định danh CVE-2026-35616, mang điểm số CVSSv3 là 9.1 (Nghiêm trọng). Nó cho phép những kẻ tấn công không xác thực bỏ qua hoàn toàn cơ chế xác thực và ủy quyền API, từ đó thực thi mã hoặc lệnh tùy ý trên các hệ thống bị ảnh hưởng.

Chi tiết kỹ thuật về CVE-2026-35616

Lỗ hổng được phân loại dưới CWE-284 (Improper Access Control), nằm trong tầng API của FortiClient Endpoint Management Server (EMS). Kẻ tấn công không cần xác thực trước, tương tác của người dùng hoặc đặc quyền cao để khai thác thành công.

Điều này khiến nó trở nên đặc biệt nguy hiểm đối với các tổ chức có triển khai EMS tiếp xúc với Internet.

Một kẻ tấn công từ xa không được xác thực có thể gửi các yêu cầu API được chế tạo đặc biệt. Mục đích là để bỏ qua tất cả các kiểm tra xác thực và ủy quyền, từ đó giành quyền kiểm soát hoàn toàn các hoạt động quản lý điểm cuối.

Vectơ tấn công dựa trên mạng, độ phức tạp thấp. Tác động của lỗ hổng này bao gồm tính bảo mật, tính toàn vẹn và tính khả dụng, trực tiếp giải thích cho xếp hạng CVSS gần như tối đa của nó.

Thông báo từ Fortinet (FG-IR-26-099) liệt kê tác động chính của **lỗ hổng CVE** này là leo thang đặc quyền. Fortinet đã xác nhận việc khai thác tích cực trong thực tế.

Ảnh hưởng và Phạm vi của Lỗ hổng FortiClient EMS

Chỉ các phiên bản **FortiClient EMS 7.4.5** và **7.4.6** bị ảnh hưởng bởi lỗ hổng này. Các phiên bản **FortiClient EMS 7.2.x** không bị ảnh hưởng và không yêu cầu bất kỳ hành động nào.

Lỗ hổng này đặc biệt nguy hiểm vì không yêu cầu bất kỳ xác thực trước, tương tác của người dùng, hoặc đặc quyền nâng cao nào. Điều này cho phép kẻ tấn công dễ dàng chiếm quyền điều khiển.

Phản ứng của Fortinet và Bản vá bảo mật khẩn cấp

Fortinet đã nhanh chóng phản hồi khi nhận được báo cáo về **lỗ hổng zero-day** này. Hãng đã công bố thông báo và phát hành bản vá khẩn cấp vào ngày **4 tháng 4 năm 2026**, cùng ngày với thời điểm công bố ban đầu.

Phiên bản **FortiClient EMS 7.4.7** sắp tới sẽ bao gồm một bản sửa lỗi vĩnh viễn. Tuy nhiên, Fortinet đã cung cấp các bản hotfix khẩn cấp ngay lập tức cho cả hai nhánh bị ảnh hưởng trong khi phiên bản chính thức được hoàn thiện.

Fortinet khẩn cấp khuyến nghị tất cả khách hàng đang sử dụng các phiên bản bị ảnh hưởng áp dụng **bản vá bảo mật** khẩn cấp ngay lập tức. Hướng dẫn cài đặt chi tiết có sẵn thông qua ghi chú phát hành FortiClient EMS chính thức cho mỗi bản dựng bị ảnh hưởng.

Khuyến nghị và Biện pháp Giảm thiểu

Các tổ chức nên theo dõi nhật ký EMS của mình để phát hiện hoạt động API bất thường. Đặc biệt chú ý đến các yêu cầu không xác thực, chúng có thể là dấu hiệu của các nỗ lực khai thác trước đó đối với **lỗ hổng CVE**.

Nếu có thể, việc hạn chế quyền truy cập bên ngoài vào giao diện quản lý EMS tại biên mạng sẽ bổ sung một lớp phòng thủ đáng kể. Điều này đặc biệt quan trọng trong khi quá trình vá lỗi đang được hoàn tất để ngăn chặn việc khai thác **lỗ hổng zero-day** này.

Phát hiện và Báo cáo Lỗ hổng CVE

Lỗ hổng này được phát hiện bởi **Simo Kohonen** từ công ty tình báo mối đe dọa Defused và nhà nghiên cứu độc lập **Nguyen Duc Anh**. Defused đã quan sát việc khai thác tích cực lỗ hổng này trong thực tế vào đầu tuần này trước khi báo cáo cho Fortinet theo giao thức tiết lộ có trách nhiệm.

Việc phát hiện được thực hiện bằng cách sử dụng tính năng Radar sắp ra mắt của Defused. Tính năng này được thiết kế để phát hiện hoạt động khai thác mới trong thời gian thực. Bằng cách này, Defused đã giúp nhanh chóng đưa ra cảnh báo về **lỗ hổng CVE** nghiêm trọng này.