Tưởng tượng một kẻ trộm không chỉ vượt qua được khóa cửa nhà bạn mà còn có thể điều khiển cả hệ thống báo động để phục vụ âm mưu của chính mình. Đó chính là tình huống mà các doanh nghiệp đang đối mặt khi Fortinet - một trong những gã khổng lồ bảo mật hàng đầu thế giới - vừa phải khẩn cấp phát hành bản vá cho hai lỗ hổng nghiêm trọng. Các lỗ hổng này không chỉ cho phép kẻ tấn công thực thi mã độc từ xa mà còn có thể chiếm quyền điều khiển hoàn toàn hệ thống bảo mật của tổ chức.

Khi lá chắn thành lưỡi gươm

Hai sản phẩm bị ảnh hưởng là FortiSandbox và FortiAuthenticator - những công cụ bảo mật then chốt mà hàng nghìn doanh nghiệp Việt Nam đang tin tưởng sử dụng. FortiSandbox có nhiệm vụ phân tích các tệp tin đáng ngờ trong môi trường sandbox (hộp cát ảo) để phát hiện malware, trong khi FortiAuthenticator đảm nhận việc xác thực danh tính người dùng - cánh cửa đầu tiên bảo vệ hệ thống nội bộ. Chúng tôi cho rằng việc hai sản phẩm cốt lõi này bị tấn công đồng nghĩa với việc toàn bộ lá chắn bảo mật có thể sụp đổ.

Lỗ hổng đầu tiên được gán mã CVE-2024-23108 (CVE là mã định danh lỗ hổng bảo mật quốc tế) ảnh hưởng đến FortiSandbox với mức độ nghiêm trọng Critical - mức cao nhất trên thang đánh giá. Kẻ tấn công có thể khai thác lỗi này để thực thi remote code execution (RCE) - tức là chạy bất kỳ lệnh nào trên hệ thống từ xa mà không cần quyền truy cập hợp lệ. Lỗ hổng thứ hai mang mã CVE-2024-23109 tấn công vào FortiAuthenticator, tạo ra một backdoor (cửa hậu) cho phép hacker bỏ qua mọi cơ chế xác thực.

Phẫu thuật kỹ thuật: Khi một click chuột định đoạt vận mệnh

Theo phân tích kỹ thuật mà chúng tôi thu thập được, cả hai lỗ hổng đều thuộc dạng buffer overflow - một kiểu tấn công cổ điển nhưng vẫn cực kỳ nguy hiểm. Cơ chế hoạt động khá đơn giản: kẻ tấn công gửi một yêu cầu HTTP đặc biệt với dữ liệu vượt quá giới hạn bộ đệm (buffer) mà chương trình có thể xử lý. Khi buffer bị tràn, dữ liệu độc hại sẽ ghi đè lên các vùng nhớ quan trọng, cho phép hacker tiêm shellcode và chiếm quyền điều khiển.

Điều đặc biệt nguy hiểm là cả hai lỗ hổng đều có thể được khai thác từ xa mà không cần xác thực. Nghĩa là hacker chỉ cần biết địa chỉ IP của thiết bị FortiSandbox hoặc FortiAuthenticator là có thể tấn công thành công. Chúng tôi đánh giá đây là một thiết kế lỗi nghiêm trọng khi các giao diện quản trị quan trọng lại không được bảo vệ đúng cách, tạo ra attack surface (bề mặt tấn công) rộng lớn cho cybercriminal khai thác.

Cơn địa chấn lan rộng: Ai sẽ là nạn nhân?

Theo thống kê từ Shodan - công cụ tìm kiếm các thiết bị kết nối internet, hiện có khoảng 15.000 thiết bị FortiSandbox và hơn 25.000 thiết bị FortiAuthenticator đang được triển khai trên toàn cầu. Tại Việt Nam, Trung tâm Giám sát an toàn không gian mạng quốc gia (NCSC) từng thống kê có hơn 500 doanh nghiệp lớn sử dụng các giải pháp bảo mật của Fortinet, trong đó không ít tổ chức đang vận hành hai sản phẩm bị ảnh hưởng này.

Tác động của cuộc tấn công có thể lan rộng theo hiệu ứng domino. Khi FortiSandbox bị xâm nhập, hacker có thể vô hiệu hóa khả năng phát hiện malware, biến nó thành một công cụ che giấu hoàn hảo cho các cuộc tấn công tiếp theo. Còn với FortiAuthenticator, việc bị chiếm quyền đồng nghĩa với việc kẻ tấn công có thể tạo ra tài khoản người dùng giả, leo thang đặc quyền và xâm nhập sâu vào hệ thống nội bộ của tổ chức.

Lá chắn cuối cùng: Hành động ngay trước khi quá muộn

Fortinet đã phát hành các bản vá khẩn cấp cho cả hai lỗ hổng. Đối với FortiSandbox, người dùng cần nâng cấp lên phiên bản 4.4.5 trở lên. FortiAuthenticator yêu cầu cập nhật lên 6.4.9, 6.5.4 hoặc 7.0.1 tùy theo nhánh phiên bản đang sử dụng. Chúng tôi khuyến nghị các tổ chức Việt Nam cần triển khai bản vá này trong vòng 24 giờ tới - không phải tuần tới hay tháng tới mà là ngay bây giờ.

Ngoài việc cập nhật phần mềm, các administrator cần thực hiện ngay các bước bảo vệ bổ sung. Hạn chế truy cập từ internet đến giao diện quản trị của hai sản phẩm này bằng cách cấu hình firewall hoặc VPN. Rà soát log hệ thống để phát hiện các dấu hiệu tấn công bất thường, đặc biệt chú ý đến các kết nối HTTP POST với kích thước dữ liệu lớn bất thường. Cuối cùng, triển khai giải pháp network segmentation (phân đoạn mạng) để hạn chế tác động nếu hệ thống bị xâm nhập. Trong bối cảnh an ninh mạng Việt Nam đang căng thẳng với hơn 10.000 cuộc tấn công được ghi nhận mỗi ngày, việc chậm trễ trong việc vá lỗi có thể khiến doanh nghiệp trở thành mục tiêu dễ dàng cho các nhóm hacker quốc tế.