Fortinet đã công bố một lỗ hổng CVE nghiêm trọng, loại tràn bộ đệm dựa trên stack, ảnh hưởng đến nền tảng FortiManager của họ. Lỗ hổng này, được định danh là CVE-2025-54820 và có điểm CVSSv3 là 7.0 (High), có thể cho phép kẻ tấn công từ xa, không cần xác thực, thực thi các lệnh trái phép.

CVE-2025-54820 đặt ra một rủi ro đáng kể cho các môi trường quản lý mạng doanh nghiệp đang chạy các phiên bản FortiManager bị ảnh hưởng. Khả năng khai thác từ xa mà không yêu cầu xác thực nhấn mạnh mức độ nghiêm trọng của vấn đề này.

Phân tích Kỹ thuật Lỗ hổng FortiManager

Lỗ hổng CVE-2025-54820 nằm trong dịch vụ fgtupdates của FortiManager. Một kẻ tấn công từ xa, không cần xác thực, có thể khai thác điểm yếu này bằng cách gửi các yêu cầu được chế tạo đặc biệt đến dịch vụ.

Thao tác này có khả năng dẫn đến việc thực thi mã trái phép trên hệ thống mục tiêu. Đây là một lỗ hổng buffer overflow, cụ thể là stack-based buffer overflow, một loại lỗi thường được dùng để thay đổi luồng điều khiển của chương trình.

Điều kiện Khai thác và Độ phức tạp

Việc khai thác CVE-2025-54820 là có điều kiện. Lỗ hổng chỉ có thể bị khai thác nếu dịch vụ fgtupdates đang được kích hoạt trên thiết bị. Điều này giới hạn một phần bề mặt tấn công của nó.

Ngoài ra, việc khai thác thành công yêu cầu kẻ tấn công phải vượt qua các cơ chế bảo vệ stack hiện có. Các cơ chế này làm tăng độ phức tạp của cuộc tấn công, đây là một yếu tố góp phần vào việc xếp hạng CVSS ở mức High thay vì Critical.

Fortinet đã phát hành thông báo bảo mật vào ngày 10 tháng 3 năm 2026, với mã tham chiếu nội bộ là FG-IR-26-098. Lỗ hổng này đã được tiết lộ một cách có trách nhiệm bởi nhà nghiên cứu catalpa từ Dbappsecurity Co., Ltd.

Thông tin chi tiết về thông báo bảo mật có thể được tìm thấy trên trang FortiGuard PSIRT: FortiGuard PSIRT Advisory FG-IR-26-098.

Để tìm hiểu thêm về định nghĩa và thông tin chi tiết của CVE-2025-54820, bạn có thể tham khảo Cơ sở dữ liệu Lỗ hổng Quốc gia (NVD): NVD – CVE-2025-54820.

Các Phiên bản FortiManager Bị Ảnh hưởng

Các phiên bản FortiManager sau đây được xác nhận là bị ảnh hưởng bởi CVE-2025-54820:

• FortiManager 7.4.x trước 7.4.3
• FortiManager 7.2.x trước 7.2.5
• FortiManager 7.0.x trước 7.0.9
• FortiManager 6.4.x trước 6.4.12

Đáng chú ý, nền tảng FortiManager Cloud không bị ảnh hưởng bởi lỗ hổng này. Điều này giới hạn phạm vi rủi ro đối với các triển khai FortiManager tại chỗ (on-premises deployments).

Biện pháp Khắc phục và Giảm thiểu Rủi ro

Fortinet khuyến nghị mạnh mẽ việc nâng cấp lên các bản phát hành đã được vá lỗi tương ứng làm con đường khắc phục chính. Việc áp dụng các bản vá bảo mật là biện pháp hiệu quả nhất để loại bỏ lỗ hổng CVE FortiManager này.

Đối với các tổ chức chưa thể áp dụng bản vá ngay lập tức, Fortinet khuyến nghị vô hiệu hóa dịch vụ fgtupdates như một biện pháp khắc phục tạm thời. Đây là một bước quan trọng để giảm thiểu rủi ro bị remote code execution.

Cấu hình CLI để Vô hiệu hóa Dịch vụ fgtupdates

Các quản trị viên có thể xóa dịch vụ fgtupdates khỏi danh sách truy cập dịch vụ trên giao diện liên quan bằng cách sử dụng cấu hình CLI sau:

config system interface
  edit <interface_name>
    config allowaccess
      unselect fgtupdates
    end
  end

Hãy đảm bảo rằng fgtupdates không được liệt kê trong số các dịch vụ được kích hoạt trên bất kỳ giao diện nào tiếp xúc ra bên ngoài. Việc này giúp ngăn chặn các cuộc tấn công nhắm vào lỗ hổng CVE-2025-54820.

Tác động và Khuyến nghị cho Đội ngũ Bảo mật

FortiManager được triển khai rộng rãi trong các môi trường doanh nghiệp để quản lý tập trung các thiết bị trong hệ sinh thái bảo mật Fortinet. Bất kỳ lỗ hổng nào cho phép remote code execution không cần xác thực, ngay cả trong các điều kiện cụ thể, cũng đều đại diện cho một bề mặt tấn công nghiêm trọng.

Các tác nhân đe dọa ngày càng nhắm mục tiêu vào các nền tảng quản lý mạng như là điểm trung gian để di chuyển ngang và duy trì quyền truy cập dai dẳng trong toàn bộ hạ tầng được quản lý.

Các đội ngũ bảo mật nên kiểm tra ngay lập tức các dịch vụ FortiManager đang hoạt động, áp dụng các bản vá có sẵn và giám sát bất kỳ truy cập bất thường nào đến điểm cuối dịch vụ fgtupdates. Việc này là cần thiết để bảo vệ hệ thống khỏi các cuộc tấn công khai thác lỗ hổng CVE này.

Việc chủ động vá lỗi và giám sát là chìa khóa để duy trì một tư thế an ninh mạng vững chắc. Đừng bỏ qua các cảnh báo về CVE nghiêm trọng, đặc biệt là những lỗ hổng liên quan đến khả năng chiếm quyền điều khiển từ xa.