Ba lỗ hổng Fortinet FortiSandbox đã được vá đang bị tin tặc tích cực khai thác

Các chuyên gia bảo mật vừa đưa ra cảnh báo khẩn cấp về việc ba lỗ hổng bảo mật mới được vá trong sản phẩm Fortinet FortiSandbox đang bị tin tặc tích cực khai thác trong tự nhiên. Thông tin này được công ty tình tin khai thác lỗ hổng Defused công bố sau khi quan sát thấy các nỗ lực tấn công nhắm vào các mã định danh lỗ hổng cụ thể.

Thiết bị bảo mật Fortinet

Các lỗ hổng đang bị khai thác

Theo các báo cáo từ hệ thống bẫy mật ong (honeypots) của Defused, các hacker đang nhắm mục tiêu vào ba lỗ hổng bao gồm CVE-2026-39808, CVE-2026-39813 và CVE-2026-25089.

Trong số này, CVE-2026-39813 và CVE-2026-39808 đều được đánh giá ở mức độ nghiêm trọng cao (critical severity) và đã được Fortinet phát bản vá vào tháng 4 năm 2026.

• CVE-2026-39813: Lỗ hổng này cho phép kẻ tấn công vượt qua xác thực (authentication bypass), từ đó có thể truy cập trái phép vào hệ thống mà không cần mật khẩu.
• CVE-2026-39808: Đây là lỗi tiêm lệnh hệ điều hành (OS command injection), cho phép kẻ tấn công thực thi mã hoặc lệnh tùy ý trên thiết bị bị ảnh hưởng.

Lỗ hổng thứ ba, CVE-2026-25089, đã được vá bởi Fortinet trong đợt cập nhật Patch Tuesday tháng 6 năm 2026. Lỗi này cho phép một kẻ tấn công từ xa, chưa được xác thực, thực thi các lệnh tùy ý trên các thiết bị dễ bị tổn thương.

Vai trò của AI trong việc tạo mã độc

Defused nhận định rằng mã khai thác cho CVE-2026-25089 có vẻ được tạo ra bằng trí tuệ nhân tạo (AI). Khi lần đầu tiên quan sát thấy, mã khai thác này không hoạt động như mong đợi, cho thấy có thể kẻ tấn công đang sử dụng các công cụ AI hỗ trợ để viết mã nhưng vẫn cần tinh chỉnh.

Công ty KEVIntel cũng đã ghi nhận việc khai thác độc lập CVE-2026-39808 vào ngày 12 tháng 6. Cả Defused và KEVIntel đều báo cáo các cuộc tấn công nhắm vào CVE-2026-39813 bắt đầu từ ngày 15 tháng 6.

Ngoài ra, Defused còn quan sát thấy việc khai thác hai lỗ hổng khác trong FortiClient EMS, được theo dõi dưới mã CVE-2026-21643 và CVE-2026-35616.

Hơn 30.000 tường lửa bị xâm phạm trong chiến dịch FortiBleed

Tách biệt với vấn đề các lỗ hổng FortiSandbox, công ty an ninh mạng SOCRadar đã phát hiện hơn 30.000 tường lửa Fortinet bị xâm phạm, làm lộ mạng lưới của các công ty và tổ chức chính phủ trước nguy cơ bị tấn công. Chiến dịch này được đặt tên là FortiBleed.

Biểu tượng bảo mật

Theo SOCRadar, một tác nhân đe dọa đã hệ thống tấn công vào các tường lửa và cổng VPN của Fortinet, xây dựng một cơ sở dữ liệu chứa các thông tin đăng nhập đã được xác minh để truy cập vào chúng.

"Những kẻ tấn công quét internet để tìm kiếm thiết bị Fortinet, thử một danh sách các mật khẩu đã biết lên từng thiết bị và ghi lại mọi lần đăng nhập thành công," SOCRadar giải thích. "Một khi thiết bị bị xâm phạm, chúng sử dụng nó như một điểm quan sát, theo dõi lưu lượng đi qua và thu thập mọi thông tin đăng nhập bổ sung."

Quá trình này tạo ra một vòng lặp tự cung cấp: mật khẩu mới được thu thập sẽ được đưa lại vào bộ quét để xâm phạm thêm nhiều thiết bị khác.

Các hệ thống bị ảnh hưởng thuộc về các công ty và tổ chức chính phủ tại hơn 190 quốc gia, với nhiều tường lửa nằm ở Ấn Độ và Hoa Kỳ. Đáng lo ngại là trong dữ liệu thu hồi được có chứa thông tin đăng nhập cho một điểm cuối VPN dường như thuộc về ngành công nghiệp quốc phòng, cho thấy tham vọng của nhóm này không chỉ dừng lại ở các mục tiêu tài chính.

Mặc dù chưa quy kết cuộc tấn công này cho một tác nhân đe dọa cụ thể nào, SOCRadar tin rằng những hacker này có khả năng là người nói tiếng Nga.

Khuyến nghị dành cho người dùng

Với tình hình bảo mật hiện tại, các tổ chức sử dụng sản phẩm của Fortinet được khuyến cáo khẩn cấp:

1. Kiểm tra và áp dụng các bản vá bảo mật mới nhất cho FortiSandbox, FortiClient EMS và tường lửa FortiGate.
2. Rà soát nhật ký hệ thống (logs) để phát hiện các dấu hiệu xâm nhập hoặc truy cập bất thường.
3. Thực hiện thay đổi mật khẩu quản trị và mật khẩu người dùng VPN, đặc biệt nếu sử dụng các cấu hình mặc định hoặc mật khẩu yếu.