Fortinet đã bắt đầu phát hành các bản cập nhật bảo mật để khắc phục một lỗ hổng nghiêm trọng ảnh hưởng đến FortiOS đang bị khai thác tích cực trên thực tế.
Lỗ hổng, được gán mã định danh CVE CVE-2026-24858 (điểm CVSS: 9.4), được mô tả là một hành vi vượt qua xác thực (authentication bypass) liên quan đến tính năng đăng nhập một lần (SSO) của FortiOS. Lỗ hổng này cũng ảnh hưởng đến FortiManager và FortiAnalyzer. Công ty cho biết họ đang tiếp tục điều tra xem liệu các sản phẩm khác, bao gồm FortiWeb và FortiSwitch Manager, có bị ảnh hưởng bởi lỗ hổng này hay không.
"Một lỗ hổng Vượt qua xác thực Sử dụng Đường dẫn hoặc Kênh thay thế (Authentication Bypass Using an Alternate Path or Channel vulnerability) [CWE-288] trong FortiOS, FortiManager, FortiAnalyzer có thể cho phép kẻ tấn công với một tài khoản FortiCloud và một thiết bị đã đăng ký đăng nhập vào các thiết bị khác được đăng ký với các tài khoản khác, nếu tính năng xác thực FortiCloud SSO được bật trên các thiết bị đó," Fortinet cho biết trong một bản tư vấn được phát hành vào thứ Ba.
Cần lưu ý rằng tính năng đăng nhập FortiCloud SSO không được bật theo cài đặt mặc định của nhà sản xuất. Nó chỉ được bật trong các trường hợp quản trị viên đăng ký thiết bị vào FortiCare từ giao diện người dùng đồ họa (GUI) của thiết bị, trừ khi họ đã thực hiện các bước để bật rõ ràng tùy chọn "Allow administrative login using FortiCloud SSO".
Sự việc này diễn ra vài ngày sau khi Fortinet xác nhận rằng các tác nhân đe dọa không xác định đã lợi dụng một "lộ trình tấn công mới" để thực hiện đăng nhập SSO mà không cần bất kỳ xác thực nào. Quyền truy cập này đã bị lợi dụng để tạo các tài khoản quản trị viên cục bộ cho mục đích duy trì truy cập, thực hiện thay đổi cấu hình cấp quyền truy cập VPN cho các tài khoản đó, và trích xuất các cấu hình tường lửa này.
Các biện pháp ứng phó của Fortinet
Trong tuần qua, nhà cung cấp bảo mật mạng cho biết họ đã thực hiện các bước sau:
- Khóa hai tài khoản FortiCloud độc hại ([email protected] và [email protected]) vào ngày 22 tháng 1 năm 2026.
- Vô hiệu hóa FortiCloud SSO ở phía FortiCloud vào ngày 26 tháng 1 năm 2026.
- Kích hoạt lại FortiCloud SSO vào ngày 27 tháng 1 năm 2026, nhưng vô hiệu hóa tùy chọn đăng nhập từ các thiết bị đang chạy phiên bản dễ bị tấn công.
Nói cách khác, khách hàng được yêu cầu nâng cấp lên phiên bản phần mềm mới nhất để tính năng xác thực FortiCloud SSO hoạt động. Fortinet cũng kêu gọi người dùng phát hiện các dấu hiệu bị xâm nhập coi thiết bị của họ đã bị vi phạm và khuyến nghị các hành động sau:
- Đảm bảo thiết bị đang chạy phiên bản firmware mới nhất.
- Khôi phục cấu hình với một phiên bản sạch đã biết hoặc kiểm tra mọi thay đổi trái phép.
- Xoay vòng thông tin xác thực, bao gồm mọi tài khoản LDAP/AD có thể được kết nối với các thiết bị FortiGate.
Sự phát triển này đã khiến Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) thêm CVE-2026-24858 vào danh mục Lỗ hổng đã bị khai thác (Known Exploited Vulnerabilities - KEV) của mình, yêu cầu các cơ quan thuộc Nhánh Hành pháp Dân sự Liên bang (Federal Civilian Executive Branch - FCEB) khắc phục các vấn đề này trước ngày 30 tháng 1 năm 2026.
