Các nhà nghiên cứu an ninh mạng đang cảnh báo về một lỗ hổng authentication bypass trong Fortinet FortiWeb WAF có thể cho phép kẻ tấn công chiếm quyền kiểm soát tài khoản quản trị và xâm nhập hoàn toàn thiết bị.
"Nhóm watchTowr đang chứng kiến việc khai thác tích cực, bừa bãi trong thực tế đối với một lỗ hổng dường như đã được Fortinet vá lỗi một cách âm thầm trong sản phẩm FortiWeb của hãng," Benjamin Harris, Giám đốc điều hành và sáng lập watchTowr, cho biết trong một tuyên bố.
"Được vá lỗi trong phiên bản 8.0.2, lỗ hổng này cho phép kẻ tấn công thực hiện các hành động với tư cách người dùng đặc quyền - với việc khai thác trong thực tế tập trung vào việc thêm một tài khoản quản trị mới như một cơ chế persistence cơ bản cho kẻ tấn công."
Công ty an ninh mạng này cho biết họ đã có thể tái tạo thành công lỗ hổng và tạo ra một proof-of-concept (Poc) hoạt động. Họ cũng đã phát hành một công cụ tạo artifact cho authentication bypass để giúp xác định các thiết bị dễ bị tấn công.
Theo các chi tiết được chia sẻ bởi Defused và nhà nghiên cứu bảo mật Daniel Card của PwnDefend, kẻ tấn công đứng sau vụ khai thác đã được phát hiện gửi một payload đến "/api/v2.0/cmdb/system/admin%3F/../../../../../cgi-bin/fwbcgi" bằng cách sử dụng yêu cầu HTTP POST để tạo một tài khoản admin.
Tài khoản admin bị tạo bởi kẻ tấn công
Một số tên người dùng và mật khẩu admin được tạo bởi các payload được phát hiện trong thực tế bao gồm:
- Testpoint / AFodIUU3Sszp5
- trader1 / 3eMIXX43
- trader / 3eMIXX43
- test1234point / AFT3$tH4ck
- Testpoint / AFT3$tH4ck
- Testpoint / AFT3$tH4ckmet0d4yaga!n
Nguồn gốc và danh tính của kẻ tấn công đứng sau các cuộc tấn công vẫn chưa được biết. Hoạt động khai thác được phát hiện lần đầu vào đầu tháng trước. Đến thời điểm viết bài, Fortinet vẫn chưa gán mã định danh CVE hoặc công bố một advisory trên PSIRT feed của mình.
The Hacker News đã liên hệ với Fortinet để bình luận, và chúng tôi sẽ cập nhật câu chuyện nếu nhận được phản hồi.
Rapid7, đơn vị đang kêu gọi các tổ chức đang chạy phiên bản Fortinet FortiWeb trước 8.0.2 khẩn cấp khắc phục lỗ hổng, cho biết họ đã quan sát thấy một exploit zero-day bị cáo buộc nhắm mục tiêu vào FortiWeb được rao bán trên một diễn đàn black hat phổ biến vào ngày 6 tháng 11 năm 2025. Hiện tại vẫn chưa rõ liệu đây có phải là cùng một exploit hay không.
"Trong khi chúng ta chờ đợi bình luận từ Fortinet, người dùng và doanh nghiệp hiện đang đối mặt với một quy trình quen thuộc: tìm kiếm các dấu hiệu nhỏ của sự thỏa hiệp trước đó, liên hệ với Fortinet để biết thêm thông tin và áp dụng các bản vá nếu bạn chưa làm vậy," Harris nói. "Tuy nhiên, với việc khai thác bừa bãi được quan sát thấy [...], các thiết bị chưa được vá lỗi có khả năng đã bị xâm nhập."
