Fortinet đã công bố một lỗ hổng CVE bảo mật nghiêm trọng ảnh hưởng đến các sản phẩm FortiPAM và FortiSwitchManager. Lỗ hổng này có thể cho phép kẻ tấn công vượt qua các cơ chế xác thực thông qua các cuộc tấn công vét cạn (brute-force), đặt ra một rủi ro bảo mật đáng kể cho các hệ thống.

Phân tích kỹ thuật lỗ hổng CVE-2025-49201

Lỗ hổng này được định danh là CVE-2025-49201. Nó được nhóm bảo mật sản phẩm của Fortinet nội bộ phát hiện bởi Gwendal Guégniaud và công bố vào ngày 14 tháng 10 năm 2025. Đây là một cảnh báo CVE quan trọng cần được chú ý.

Điểm yếu bảo mật này bắt nguồn từ vấn đề xác thực yếu, được phân loại theo CWE-1390. Lỗ hổng tồn tại trong các thành phần WAD/GUI của FortiPAM và FortiSwitchManager.

CWE-1390 mô tả việc sử dụng các thuật toán hoặc quy trình xác thực không đủ mạnh. Điều này tạo điều kiện cho kẻ tấn công thực hiện các cuộc tấn công vét cạn để thử nghiệm nhiều cặp tên người dùng/mật khẩu cho đến khi tìm thấy thông tin đăng nhập hợp lệ.

Kẻ tấn công có thể lợi dụng điểm yếu này để thực hiện các cuộc tấn công mạng nhằm vượt qua quá trình xác thực. Từ đó, chúng có thể truy cập trái phép vào các hệ thống bị ảnh hưởng mà không cần thông tin đăng nhập hợp lệ.

Đánh giá Mức độ Nghiêm trọng (CVSS v3.1)

Lỗ hổng CVE-2025-49201 được chấm điểm CVSS v3.1 là 7.4. Đây là mức độ nghiêm trọng cao, phản ánh khả năng tác động đáng kể.

Điểm số này chỉ ra một rủi ro bảo mật đáng kể đối với các tổ chức sử dụng các phiên bản dễ bị tổn thương. Mức độ nghiêm trọng cao yêu cầu các hành động khắc phục khẩn cấp và ưu tiên cao.

Vector Tấn công và Tác động Tiềm năng

Vector tấn công là dựa trên mạng (network-based), cho phép khai thác từ xa. Cuộc tấn công không yêu cầu tương tác người dùng hoặc đặc quyền truy cập trước, làm tăng mức độ nguy hiểm của lỗ hổng CVE này.

Điều này đặc biệt đáng lo ngại đối với các triển khai hướng ra Internet. Các hệ thống này dễ bị tấn công trực tiếp mà không cần sự can thiệp của người dùng cuối.

Mặc dù độ phức tạp tấn công được đánh giá là cao, việc khai thác thành công có thể cấp cho kẻ tấn công quyền truy cập trái phép. Điều này có thể dẫn đến khả năng thực thi mã từ xa (remote code execution) hoặc các lệnh trên hệ thống bị xâm nhập.

Quyền truy cập này có thể dẫn đến việc chiếm quyền điều khiển hệ thống hoàn toàn, đánh cắp dữ liệu, hoặc di chuyển ngang (lateral movement) sâu hơn trong mạng doanh nghiệp. Một cảnh báo CVE như thế này nhấn mạnh tầm quan trọng của việc bảo vệ điểm cuối.

Các Sản phẩm và Phiên bản bị Ảnh hưởng từ Lỗ hổng CVE này

Để đảm bảo an toàn thông tin, các tổ chức cần xác định chính xác phiên bản sản phẩm Fortinet đang sử dụng. Điều này giúp xác định lộ trình cập nhật hoặc di chuyển phù hợp để khắc phục lỗ hổng CVE này.

FortiPAM bị Ảnh hưởng

• Các phiên bản FortiPAM từ 1.0 đến 1.5.0 đều bị ảnh hưởng ở các mức độ nghiêm trọng khác nhau.
• Đối với các phiên bản 1.0, 1.1, 1.2, và 1.3, không có bản vá bảo mật trực tiếp. Yêu cầu di chuyển hoàn toàn sang các bản phát hành đã được vá lỗi.
• Các tổ chức đang chạy FortiPAM 1.4.0 đến 1.4.2 nên nâng cấp ngay lập tức lên phiên bản 1.4.3 hoặc cao hơn.
• Đối với người dùng FortiPAM 1.5.0, cần nâng cấp lên phiên bản 1.5.1 hoặc cao hơn để nhận được bản vá bảo mật cần thiết.

FortiSwitchManager bị Ảnh hưởng

• Các phiên bản FortiSwitchManager từ 7.2.0 đến 7.2.4 cũng bị ảnh hưởng bởi lỗ hổng CVE này.
• Fortinet đã phát hành phiên bản 7.2.5 làm bản vá bảo mật cho các phiên bản bị ảnh hưởng này.

Các Phiên bản Không bị Ảnh hưởng

Đáng chú ý, các phiên bản sau đây của FortiPAM và FortiSwitchManager không bị ảnh hưởng và không yêu cầu hành động:

• FortiPAM phiên bản 1.6 và 1.7
• FortiSwitchManager phiên bản 7.0

Chiến lược Khắc phục và Giảm thiểu Rủi ro bảo mật từ Cảnh báo CVE này

Các nhóm bảo mật quản lý hạ tầng Fortinet cần ưu tiên các nỗ lực vá lỗi dựa trên cấu hình triển khai cụ thể của họ. Việc bỏ qua bản vá bảo mật có thể dẫn đến hậu quả nghiêm trọng.

Cập nhật Bản vá bảo mật và Di chuyển Hệ thống

Các tổ chức có cài đặt FortiPAM hoặc FortiSwitchManager hướng ra Internet phải đối mặt với rủi ro cao nhất. Do đó, cần đẩy nhanh quá trình khắc phục và triển khai bản vá bảo mật.

Đối với các hệ thống chạy phiên bản không được hỗ trợ và yêu cầu di chuyển thay vì chỉ nâng cấp đơn giản, các tổ chức nên lập kế hoạch chuyển đổi. Kế hoạch này nhằm mục đích chuyển sang các bản phát hành được hỗ trợ một cách kịp thời để tránh lỗ hổng CVE tiếp diễn.

Thông tin chi tiết về các bản vá và lộ trình nâng cấp có thể tìm thấy tại trang tư vấn bảo mật chính thức của Fortinet: FortiGuard Security Advisory FG-IR-25-010. Đây là nguồn thông tin đáng tin cậy cho mọi cảnh báo CVE.

Các Biện pháp Bảo mật Bổ sung

Các quản trị viên nên xác minh phiên bản phần mềm hiện tại của họ. Sau đó, họ cần xem xét nhật ký truy cập để tìm các nỗ lực xác thực đáng ngờ, đặc biệt là các dấu hiệu của tấn công mạng vét cạn.

Việc triển khai các biện pháp kiểm soát bảo mật bổ sung là cần thiết. Điều này bao gồm việc đặt danh sách trắng IP (IP whitelisting) hoặc sử dụng xác thực đa yếu tố (multi-factor authentication – MFA) bất cứ khi nào có thể, giúp tăng cường an toàn thông tin.

Giám sát thường xuyên các nhật ký xác thực để phát hiện các mẫu tấn công vét cạn bất thường. Điều này có thể giúp phát hiện các nỗ lực khai thác tiềm ẩn trong khi các bản vá đang được triển khai và ngăn chặn xâm nhập mạng.

# Ví dụ lệnh kiểm tra phiên bản FortiPAM (có thể khác tùy theo phiên bản và giao diện CLI)
diagnose sys fortipam-version

# Ví dụ lệnh kiểm tra phiên bản FortiSwitchManager (có thể khác tùy theo phiên bản và giao diện CLI)
diagnose sys fsm-version

Bằng cách kết hợp triển khai bản vá bảo mật kịp thời và các biện pháp giảm thiểu mạnh mẽ, rủi ro bảo mật từ lỗ hổng CVE này có thể được quản lý hiệu quả, bảo vệ hệ thống khỏi các cuộc tấn công mạng.