Một lỗ hổng zero-day nghiêm trọng trong Fortinet FortiWeb đang bị khai thác tích cực trong thực tế, cho phép kẻ tấn công giành quyền truy cập quản trị viên hoàn toàn mà không cần xác thực trước. Lỗ hổng này ảnh hưởng đến tường lửa ứng dụng web (WAF) của Fortinet, được thiết kế để bảo vệ các ứng dụng web khỏi lưu lượng truy cập độc hại.

Phân Tích Kỹ Thuật Lỗ Hổng Zero-day

Lỗ hổng này cấp cho các tác nhân đe dọa khả năng truy cập cấp quản trị viên vào bảng điều khiển FortiWeb Manager và giao diện dòng lệnh websocket. Điều này không yêu cầu bất kỳ thông tin xác thực hoặc quyền truy cập hiện có nào.

Ảnh Hưởng Hệ Thống

Khi khai thác thành công, lỗ hổng cho phép kẻ tấn công tạo các tài khoản quản trị viên cục bộ độc hại. Các tài khoản này sẽ có toàn quyền kiểm soát thiết bị bảo mật.

Kiểm thử của Rapid7 đã chứng minh việc tạo thành công một tài khoản quản trị viên có tên “hax0r” với đầy đủ đặc quyền truy cập.

Thời Gian Phát Hiện và Tình Trạng Khai Thác

Công ty an ninh mạng Defused đã công bố một bằng chứng khái niệm (PoC) khai thác vào ngày 6 tháng 10 năm 2025. PoC này được thu thập bởi honeypot Fortinet FortiWeb Manager của họ. Thông tin từ Defused chỉ ra rằng việc khai thác đã diễn ra trong thực tế từ tháng 10 năm 2025 thông qua các cuộc tấn công có mục tiêu.

Các Phiên Bản FortiWeb Bị Ảnh Hưởng

Các nhà nghiên cứu bảo mật tại Rapid7 đã xác nhận rằng PoC công khai có thể khai thác thành công FortiWeb phiên bản 8.0.1, phát hành vào tháng 8 năm 2025. Tuy nhiên, khai thác này không thành công đối với phiên bản 8.0.2 mới nhất.

Lỗ hổng này ảnh hưởng đến các phiên bản FortiWeb trước 8.0.2. Phiên bản 8.0.1 đã được xác nhận là có thể bị khai thác bằng PoC công khai. Ngược lại, khi cố gắng khai thác phiên bản 8.0.2, hệ thống trả về phản hồi “403 Forbidden”.

Mặc dù vậy, vẫn chưa rõ liệu phiên bản 8.0.2 có bao gồm một bản vá lỗi ngầm hay việc khai thác không thành công chỉ là trùng hợp. Hiện tại, không có xác nhận chính thức từ nhà cung cấp về vấn đề này. Điều này làm tăng thêm mối lo ngại về phạm vi của lỗ hổng zero-day này.

Rủi Ro Nghiêm Trọng và Thiếu Thông Báo Chính Thức

Vào ngày 6 tháng 11 năm 2025, Rapid7 Labs đã quan sát một khai thác zero-day được cho là nhắm mục tiêu vào FortiWeb đang được rao bán trên một diễn đàn mũ đen phổ biến. Tuy nhiên, vẫn chưa rõ liệu nó có liên quan đến cùng một lỗ hổng zero-day hay không.

Tính đến ngày 13 tháng 11 năm 2025, Fortinet vẫn chưa đưa ra hướng dẫn chính thức hoặc gán mã định danh CVE cho lỗ hổng này. Việc thiếu thông báo chính thức từ nhà cung cấp gây ra lo ngại về phạm vi lỗ hổng và các bước giảm thiểu phù hợp. Điều này nhấn mạnh tầm quan trọng của việc chủ động trong an ninh mạng.

Biện Pháp Khẩn Cấp và Khuyến Nghị An Toàn

Các tổ chức đang chạy các phiên bản FortiWeb dễ bị tấn công cần thực hiện hành động khẩn cấp ngay lập tức. Điều này bao gồm cập nhật lên phiên bản 8.0.2 hoặc loại bỏ các giao diện quản lý FortiWeb khỏi việc tiếp xúc với Internet công cộng.

Việc khai thác đã diễn ra từ tháng 10 và các cuộc tấn công quy mô lớn được dự đoán sẽ xảy ra. Do đó, các tổ chức phải ưu tiên khắc phục trên cơ sở khẩn cấp để ngăn chặn nguy cơ chiếm quyền điều khiển hệ thống.

Giám Sát và Phòng Thủ Chuyên Sâu

Các nhóm bảo mật nên liên tục theo dõi nguồn cấp PSIRT chính thức của Fortinet để nhận được hướng dẫn từ nhà cung cấp, ngay cả sau khi đã cập nhật lên phiên bản 8.0.2. Cho đến khi Fortinet cung cấp hướng dẫn toàn diện về bản vá bảo mật, các tổ chức nên triển khai các biện pháp phòng thủ chuyên sâu (defense-in-depth).

Các biện pháp này giúp bảo vệ triển khai FortiWeb khỏi khả năng bị xâm nhập. Việc bảo vệ khỏi lỗ hổng zero-day đòi hỏi sự chủ động và liên tục nâng cao khả năng phòng thủ.