Một lỗ hổng FortiSIEM nghiêm trọng đã được các nhà nghiên cứu bảo mật phát hiện, cho phép kẻ tấn công thực hiện tấn công tiêm lệnh (command injection) tiền xác thực. Lỗ hổng này ảnh hưởng đến nền tảng FortiSIEM của Fortinet, cho phép kẻ tấn công kiểm soát hoàn toàn các hệ thống giám sát an ninh doanh nghiệp mà không cần bất kỳ thông tin xác thực nào. Đây là một lỗ hổng zero-day đã bị khai thác trong thực tế.

Lỗ hổng được định danh là CVE-2025-25256, đã được ghi nhận có mã khai thác trong thực tế, làm dấy lên những lo ngại cấp bách về an ninh của các công cụ giám sát cơ sở hạ tầng quan trọng. FortiSIEM, giải pháp Quản lý Thông tin và Sự kiện Bảo mật (SIEM) hàng đầu của Fortinet, được triển khai rộng rãi trong môi trường doanh nghiệp.

Hệ thống này được thiết kế để giám sát sự kiện bảo mật, tương quan các mối đe dọa và cung cấp khả năng phản ứng sự cố tự động. Nền tảng này đóng vai trò là “hệ thống thần kinh trung ương” của các trung tâm điều hành an ninh (SOC) của doanh nghiệp, khiến lỗ hổng này đặc biệt đáng lo ngại đối với các tổ chức trên toàn thế giới.

Phân Tích Kỹ Thuật Sâu Về Lỗ Hổng FortiSIEM CVE-2025-25256

Lỗ hổng tồn tại trong thành phần phMonitor, một tệp nhị phân C++ quan trọng hoạt động trên cổng 7900. Thành phần này có trách nhiệm giám sát tình trạng và hiệu suất của các quy trình FortiSIEM. Việc lựa chọn thành phần này là mục tiêu tấn công cho thấy kẻ tấn công nhắm vào trái tim của hệ thống giám sát.

Các nhà nghiên cứu từ watchTowr Labs đã phát hiện ra rằng lỗ hổng bắt nguồn từ việc không đủ kiểm soát đầu vào (inadequate input sanitization) trong hàm handleStorageArchiveRequest. Đây là một lỗi phổ biến nhưng nguy hiểm, nơi dữ liệu đầu vào do người dùng kiểm soát được xử lý mà không có sự xác thực hoặc làm sạch hợp lệ.

Trong trường hợp này, dữ liệu XML được truyền đến hàm này đáng lẽ phải được kiểm tra nghiêm ngặt để đảm bảo nó chỉ chứa các giá trị hợp lệ. Tuy nhiên, việc thiếu sót trong kiểm tra cho phép kẻ tấn công chèn các ký tự độc hại. Điều này làm thay đổi ngữ cảnh của lệnh được thực thi trên máy chủ.

Phân tích kỹ thuật chuyên sâu cho thấy kẻ tấn công có thể khai thác lỗ hổng FortiSIEM này bằng cách gửi các payload XML được chế tạo đặc biệt đến dịch vụ phMonitor bị ảnh hưởng. Dữ liệu đầu vào độc hại này được thiết kế để vượt qua hàm addParaSafe, vốn là cơ chế bảo vệ được triển khai nhưng không hiệu quả.

Hàm addParaSafe chỉ thực hiện việc thoát các ký tự dấu ngoặc kép cơ bản, ví dụ như chuyển đổi " thành ". Tuy nhiên, nó không thực hiện việc làm sạch đầu vào toàn diện để ngăn chặn các ký tự như dấu chấm phẩy (;), dấu và (&), hoặc các ký tự đặc biệt khác có thể được sử dụng để nối thêm lệnh. Điều này cho phép kẻ tấn công tiêm các lệnh tùy ý vào chuỗi thực thi.

Khi các lệnh này được tiêm, chúng sẽ được thực thi với các đặc quyền của hệ thống FortiSIEM, vốn thường là đặc quyền cao (ví dụ: root hoặc system). Điều này dẫn đến khả năng remote code execution (thực thi mã từ xa) hoàn toàn, cho phép kẻ tấn công chiếm quyền điều khiển hệ thống, cài đặt mã độc, thay đổi cấu hình hoặc truy cập dữ liệu nhạy cảm.

Các Phiên Bản FortiSIEM Bị Ảnh Hưởng và Rủi Ro Tiềm Tàng

Lỗ hổng này ảnh hưởng đến một loạt rộng các phiên bản FortiSIEM. Điều này có nghĩa là các tổ chức đang chạy các phiên bản cũ hơn hoặc chưa được cập nhật có nguy cơ bị xâm nhập đáng kể. Fortinet đã xác nhận rằng các phiên bản từ 6.6 trở xuống đều có nguy cơ cao và cần được xử lý ngay lập tức.

Cụ thể, danh sách các phiên bản FortiSIEM được biết là bị ảnh hưởng bao gồm các bản phát hành trước các bản vá được cung cấp (ví dụ):

• FortiSIEM phiên bản 6.7.x đến 6.7.8 (và các phiên bản thấp hơn trong dòng 6.7)
• FortiSIEM phiên bản 6.6.x đến 6.6.5 (và các phiên bản thấp hơn trong dòng 6.6)
• FortiSIEM phiên bản 6.5.x và các bản vá lỗi trước đó
• FortiSIEM phiên bản 6.4.x và các bản vá lỗi trước đó
• Các phiên bản FortiSIEM cũ hơn dòng 6.4

Việc ảnh hưởng rộng rãi này làm tăng mức độ rủi ro đối với các cơ sở hạ tầng doanh nghiệp vốn phụ thuộc vào FortiSIEM để giám sát bảo mật. Một hệ thống SIEM bị xâm phạm có thể làm mất khả năng hiển thị các cuộc tấn công đang diễn ra, cung cấp cho kẻ tấn công cái nhìn toàn diện về tình hình an ninh mạng của tổ chức và có khả năng phá vỡ toàn bộ chu trình phản ứng sự cố. Điều này cũng có thể dẫn đến rò rỉ dữ liệu nhạy cảm được thu thập bởi SIEM, gây ra hậu quả nghiêm trọng về tuân thủ và uy tín.

Tầm Quan Trọng Của Việc Cập Nhật FortiSIEM

Thông tin chi tiết về các phiên bản bị ảnh hưởng cho thấy một thách thức lớn. Đối với các phiên bản FortiSIEM 6.6 trở xuống, Fortinet khuyến nghị di chuyển hoàn toàn sang các bản phát hành mới hơn, đã được vá lỗi, thay vì chỉ cập nhật từng phần. Điều này nhấn mạnh mức độ nghiêm trọng của lỗ hổng và tính phức tạp của việc vá lỗi trên các phiên bản cũ. Các bản vá bảo mật thông thường có thể không đủ để khắc phục triệt để và yêu cầu một chiến lược nâng cấp toàn diện hơn.

Khai Thác Thực Tế và Mối Đe Dọa Khẩn Cấp

Điều đáng báo động nhất là Fortinet đã xác nhận rằng “mã khai thác thực tế cho lỗ hổng này đã được tìm thấy trong tự nhiên”. Tiết lộ này thách vấn quan điểm phổ biến rằng các lỗ hổng chỉ trở nên nguy hiểm sau khi các nhà nghiên cứu bảo mật công bố phân tích chi tiết. Thay vào đó, nó chứng minh rằng các tác nhân độc hại đang chủ động khám phá và khai thác những lỗ hổng này một cách độc lập.

Sự xuất hiện của mã khai thác trong thực tế có nghĩa là các tổ chức cần hành động ngay lập tức. Đây không chỉ là một cảnh báo CVE tiềm năng mà là một mối đe dọa hiện hữu. Lỗ hổng này đặc biệt nguy hiểm khi nhắm mục tiêu vào các hệ thống SIEM, vì chúng là trái tim của hoạt động an ninh và cung cấp cái nhìn tổng quan về toàn bộ hạ tầng mạng.

Thỏa hiệp các nền tảng này có thể khiến các tổ chức “mù quáng” trước các cuộc tấn công đang diễn ra và có khả năng cung cấp cho kẻ tấn công cái nhìn toàn diện về tư thế an ninh mạng, từ đó giúp chúng lên kế hoạch cho các cuộc tấn công sâu hơn hoặc đánh cắp dữ liệu quan trọng mà không bị phát hiện.

Biện Pháp Khắc Phục Khẩn Cấp và Phát Hiện Lỗ Hổng FortiSIEM

Các nhóm an ninh cần lập tức kiểm kê các triển khai FortiSIEM của mình và xác minh số phiên bản hiện tại dựa trên khuyến nghị của Fortinet. Việc cập nhật bản vá bảo mật hoặc di chuyển lên phiên bản mới là bắt buộc. Đối với các phiên bản cũ hơn, việc di chuyển hoàn toàn sang các bản phát hành được vá lỗi mới hơn là khuyến nghị chính thức. Đảm bảo rằng hệ thống đang chạy các phiên bản được vá lỗi mới nhất là bước đầu tiên và quan trọng nhất để giảm thiểu rủi ro từ lỗ hổng FortiSIEM này.

WatchTowr Labs đã phát hành một Detection Artefact Generator để giúp các nhóm an ninh xác định các nỗ lực khai thác tiềm năng trong môi trường của họ. Công cụ này cung cấp khả năng phát hiện các dấu hiệu xâm nhập, giúp tổ chức phản ứng nhanh chóng và giảm thiểu thiệt hại. Bạn có thể tham khảo chi tiết và tải công cụ tại blog của WatchTowr Labs.

Với sự đơn giản của mã khai thác và việc xác nhận đã được sử dụng trong thực tế, các tổ chức nên giả định rằng các nỗ lực quét và khai thác đang hoạt động đã và đang xảy ra. Việc giám sát liên tục các log và hoạt động mạng là cần thiết để phát hiện các dấu hiệu bất thường có thể liên quan đến việc khai thác lỗ hổng. Triển khai các giải pháp phát hiện xâm nhập (IDS/IPS) có thể giúp chặn các payload độc hại.

Sự cố này cũng nhấn mạnh những lo ngại rộng hơn về tình hình an ninh của chính các công cụ bảo mật. Nó nêu bật tầm quan trọng tối thiểu của việc áp dụng các tiêu chuẩn bảo vệ nghiêm ngặt cho hạ tầng an ninh, giống như cách áp dụng cho các hệ thống kinh doanh quan trọng khác. Việc xử lý triệt để lỗ hổng này là một bước thiết yếu để đảm bảo an toàn thông tin và bảo vệ toàn diện hệ thống của bạn trước các mối đe dọa mạng tiên tiến.