Các nhà nghiên cứu bảo mật vừa phát hiện một lỗ hổng FortiSIEM nghiêm trọng trên nền tảng FortiSIEM của Fortinet. Lỗ hổng này cho phép kẻ tấn công từ xa thực thi các lệnh trái phép mà không cần xác thực.

CVE-2025-25256: Lỗ hổng nghiêm trọng và khai thác không yêu cầu xác thực

Lỗ hổng, được định danh là CVE-2025-25256, đạt điểm CVSS tối đa là 9.8. Đây là một lỗ hổng CVE nghiêm trọng, gây ra mối đe dọa trực tiếp cho các tổ chức trên toàn cầu. Mã khai thác (exploit code) cho lỗ hổng này đã được phát hiện đang lưu hành trong thực tế.

Nguyên nhân của lỗ hổng bắt nguồn từ việc xử lý không đúng các phần tử đặc biệt được sử dụng trong lệnh hệ điều hành. Lỗi này được phân loại là CWE-78 (OS Command Injection).

Theo báo cáo từ FortiGuard, lỗ hổng bảo mật này cho phép kẻ tấn công không xác thực thực thi mã hoặc lệnh tùy ý. Điều này được thực hiện thông qua các yêu cầu CLI được tạo đặc biệt tới các hệ thống FortiSIEM bị ảnh hưởng. Bản chất tấn công từ xa làm cho lỗ hổng này đặc biệt nguy hiểm. Kẻ tấn công có thể khai thác các hệ thống dễ bị tổn thương qua internet mà không yêu cầu quyền truy cập hoặc thông tin đăng nhập trước.

Tác động và Rủi ro bảo mật

Việc khai thác thành công lỗ hổng FortiSIEM này có thể cấp cho kẻ tấn công toàn quyền kiểm soát cơ sở hạ tầng SIEM. Điều này tiềm ẩn khả năng thao túng nhật ký bảo mật, vô hiệu hóa khả năng giám sát, hoặc sử dụng hệ thống bị xâm nhập làm điểm khởi đầu cho việc di chuyển ngang (lateral movement) trong mạng nội bộ.

Sự xuất hiện của các nỗ lực khai thác đang diễn ra biến lỗ hổng FortiSIEM này thành một mối quan tâm bảo mật ưu tiên cao. Các tổ chức phải đối mặt với rủi ro bảo mật đáng kể nếu không hành động kịp thời.

Các Phiên bản FortiSIEM bị Ảnh hưởng và Lộ trình Cập nhật

Lỗ hổng FortiSIEM này ảnh hưởng đến nhiều phiên bản FortiSIEM. Fortinet đã cung cấp các lộ trình nâng cấp cụ thể cho từng phiên bản bị ảnh hưởng.

• Các tổ chức đang chạy FortiSIEM phiên bản 6.6 và cũ hơn sẽ gặp khó khăn. Các phiên bản này yêu cầu di chuyển hoàn toàn sang các bản phát hành được hỗ trợ, thay vì chỉ là các bản cập nhật đơn giản.

Biện pháp Giảm thiểu và Cập nhật bản vá khẩn cấp

Để giảm thiểu tạm thời lỗ hổng FortiSIEM này, các tổ chức có thể hạn chế quyền truy cập vào cổng phMonitor (7900). Tuy nhiên, đây chỉ nên được coi là một biện pháp ngắn hạn trong khi lập kế hoạch khắc phục toàn diện.

Các nhóm bảo mật cần ngay lập tức kiểm kê các triển khai FortiSIEM của họ. Việc ưu tiên vá lỗi phải dựa trên rủi ro phơi nhiễm và giám sát các chỉ số xâm nhập tiềm ẩn.

Việc công bố khuyến nghị này vào ngày 12 tháng 8 năm 2025, dưới số hiệu IR của Fortinet là FG-IR-25-152, cho thấy tính cấp bách của các hành động ứng phó cần thiết. Thông tin chi tiết có thể được tìm thấy tại khuyến nghị bảo mật chính thức của Fortinet: FortiGuard PSIRT Advisory FG-IR-25-152.

Việc thực hiện cập nhật bản vá là cực kỳ quan trọng để bảo vệ hệ thống khỏi các cuộc tấn công tiềm ẩn khai thác lỗ hổng FortiSIEM này.