Khẩn cấp: Fortinet phát bản vá lỗi zero-day nghiêm trọng trên FortiClient EMS đang bị khai thác

Cuối tuần qua, Fortinet đã vội vã tung ra các bản sửa lỗi khẩn cấp cho một lỗ hổng bảo mật nghiêm trọng trên máy chủ Quản lý Doanh nghiệp FortiClient (FortiClient EMS). Lỗi này đang bị tin tặc khai thác dưới dạng zero-day (lỗ hổng chưa có bản vá) trước khi nhà sản xuất kịp phản hồi.

Lỗ hổng bảo mật Fortinet

Chi tiết lỗ hổng CVE-2026-35616

Vấn đề được mô tả là lỗi kiểm soát truy cập không đúng cách (improper access control), được theo dõi dưới mã định danh CVE-2026-35616. Với điểm số CVSS là 9.1/10, đây là một lỗ hổng có mức độ nghiêm trọng cao (critical).

Theo khuyến cáo từ Fortinet, kẻ tấn công từ xa có thể gửi các yêu cầu được tạo đặc biệt đến một hệ thống FortiClient EMS dễ bị tổn thương để kích hoạt lỗi này. Điều đáng lo ngại là khai thác thành công lỗ hổng này không yêu cầu xác thực, cho phép tin tặc thực thi mã tùy ý từ xa (Remote Code Execution - RCE) trên hệ thống.

Được khai thác thực tế

Fortinet đã đưa ra cảnh báo rõ ràng: "Chúng tôi đã quan sát thấy lỗ hổng này đang bị khai thác trong tự nhiên". Điều này đồng nghĩa với việc các cuộc tấn công đang diễn ra thực tế nhắm vào các tổ chức chưa kịp cập nhật bản vá.

Vào thứ Bảy vừa rồi, Fortinet thông báo rằng các bản vá nóng (hotfixes) đã có sẵn để khắc phục lỗi bảo mật này trên các phiên bản FortiClient EMS 7.4.5 và 7.4.6. Công ty khẳng định phiên bản 7.2 không bị ảnh hưởng bởi lỗ hổng này.

"Phiên bản FortiClientEMS 7.4.7 sắp tới cũng sẽ bao gồm bản sửa lỗi cho vấn đề này. Trong thời gian chờ đợi, bản vá nóng nêu trên là đủ để ngăn chặn hoàn toàn rủi ro," Fortinet cho biết.

Tác động và khuyến nghị

Lỗ hổng được ghi nhận là do "Defused" – một công ty an ninh mạng – phát hiện và báo cáo. Theo Defused, lỗ hổng này cho phép kẻ tấn công chưa được xác thực bỏ qua cơ chế xác thực và ủy quyền của API.

Sau khi quan sát thấy việc khai thác lỗ hổng này trong tự nhiên vào đầu tuần, Defused đã báo cáo nó cho Fortinet theo quy trình tiết lộ có trách nhiệm.

Tổ chức phi lợi nhuận The Shadowserver Foundation cho biết họ đã quan sát thấy khoảng 2.000 phiên bản FortiClient EMS có thể truy cập được từ Internet. Các phiên bản này có khả năng bị lộ trước các cuộc tấn công khai thác lỗ hổng zero-day mới, cũng như một lỗ hổng tiêm SQL (SQL injection) khác là CVE-2026-21643 đã được vá gần đây nhưng cũng đang bị khai thác trong hơn một tuần qua.

Các quản trị viên hệ thống đang sử dụng FortiClient EMS phiên bản 7.4.5 hoặc 7.4.6 được khuyến cáo áp dụng bản vá nóng ngay lập tức theo hướng dẫn của Fortinet để bảo vệ hệ thống trước các mối đe dọa đang diễn ra.