Fortinet xác nhận lỗ hổng FortiCloud SSO Bypass đang bị khai thác trên các tường lửa FortiGate đã được vá lỗi hoàn chỉnh

Fortinet đã chính thức xác nhận đang nỗ lực khắc phục hoàn toàn lỗ hổng FortiCloud SSO authentication bypass sau khi có báo cáo về hoạt động khai thác mới trên các tường lửa đã được vá lỗi hoàn chỉnh. "Trong 24 giờ qua, chúng tôi đã xác định một số trường hợp lỗ hổng được khai thác trên một thiết bị đã được nâng cấp hoàn toàn lên phiên bản mới nhất tại thời điểm xảy ra cuộc tấn công, điều này cho thấy một đường tấn công mới."
Minh họa lỗ hổng Fortinet
Ảnh minh họa về lỗ hổng Fortinet.

Fortinet đã chính thức xác nhận đang nỗ lực khắc phục hoàn toàn lỗ hổng FortiCloud SSO authentication bypass sau khi có báo cáo về hoạt động khai thác mới trên các tường lửa đã được vá lỗi hoàn chỉnh.

"Trong 24 giờ qua, chúng tôi đã xác định một số trường hợp lỗ hổng được khai thác trên một thiết bị đã được nâng cấp hoàn toàn lên phiên bản mới nhất tại thời điểm xảy ra cuộc tấn công, điều này cho thấy một đường tấn công mới,"

Carl Windsor, CISO của Fortinet

Ông Carl Windsor, CISO của Fortinet, cho biết trong một bài đăng hôm thứ Năm.

Hoạt động này về cơ bản là một cách bypass các bản vá lỗi mà nhà cung cấp bảo mật mạng đã triển khai để khắc phục CVE-2025-59718 và CVE-2025-59719. Các lỗ hổng này có thể cho phép bypass xác thực đăng nhập SSO không cần xác thực thông qua các tin nhắn SAML được tạo thủ công nếu tính năng FortiCloud SSO được bật trên các thiết bị bị ảnh hưởng. Fortinet đã xử lý các vấn đề này vào tháng trước.

Tuy nhiên, đầu tuần này, các báo cáo cho thấy hoạt động mới trong đó các đăng nhập SSO độc hại trên thiết bị FortiGate đã được ghi nhận vào tài khoản admin trên các thiết bị đã được vá lỗi chống lại hai lỗ hổng. Hoạt động này tương tự như các sự cố được quan sát vào tháng 12, ngay sau khi công bố CVE-2025-59718 và CVE-2025-59719.

Hoạt động này liên quan đến việc tạo các tài khoản chung để duy trì truy cập, thực hiện thay đổi cấu hình cấp quyền truy cập VPN cho các tài khoản đó và trích xuất cấu hình firewall sang các địa chỉ IP khác nhau. Kẻ tấn công đã được quan sát thấy đăng nhập bằng các tài khoản có tên "[email protected]" và "[email protected]."

Các biện pháp giảm thiểu

Để giảm thiểu rủi ro, công ty đang khuyến nghị thực hiện các hành động sau:

  • Hạn chế quyền truy cập quản trị của thiết bị mạng biên qua internet bằng cách áp dụng một local-in policy.
  • Vô hiệu hóa đăng nhập FortiCloud SSO bằng cách tắt "admin-forticloud-sso-login".

Fortinet cho biết: "Điều quan trọng cần lưu ý là mặc dù hiện tại chỉ ghi nhận việc khai thác FortiCloud SSO, vấn đề này vẫn áp dụng cho tất cả các triển khai SAML SSO."

Thẻ liên quan
#Fortinet #FortiGate #SSO Bypass #Vulnerability #Cybersecurity #Exploit