Bỏ qua đến nội dung chính
Về trang chủ
Tech AI 3 phút đọc

CISA thêm lỗ hổng FortiSandbox CVE-2026-25089 vào danh sách KEV

Cơ quan An ninh Cơ sở hạ tầng và An ninh mạng Mỹ (CISA) đã chính thức bổ sung lỗ hổng thực thi lệnh không cần xác thực CVE-2026-25089 trên FortiSandbox vào danh sách KEV nguy hiểm.

Tier 2 · nguồn 51% độ tin cậy Đã được duyệt
Nguồn gốc hellorecon.com

Cơ quan An ninh Cơ sở hạ tầng và An ninh mạng Mỹ (CISA) vừa qua đã chính thức bổ sung lỗ hổng bảo mật nghiêm trọng CVE-2026-25089 ảnh hưởng đến giải pháp FortiSandbox của hãng Fortinet vào danh sách các lỗ hổng bị khai thác trong thực tế (KEV). Đây là một lỗ hổng chèn lệnh không cần xác thực (unauthenticated command injection), cho phép kẻ tấn công từ xa chiếm quyền kiểm soát hệ thống mà không cần thông tin đăng nhập hợp lệ. Việc CISA đưa lỗ hổng này vào danh sách KEV yêu cầu các cơ quan chính phủ liên bang Mỹ phải nhanh chóng vá lỗi để phòng ngừa các cuộc tấn công mạng nguy hiểm.

Diễn biến chi tiết

Theo báo cáo ban đầu, lỗ hổng CVE-2026-25089 nằm trong giao diện quản trị web của thiết bị bảo mật FortiSandbox. Lỗ hổng này phát sinh từ việc kiểm tra đầu vào không nghiêm ngặt của người dùng, cho phép kẻ tấn công gửi các yêu cầu HTTP độc hại được chế tạo đặc biệt để thực thi các lệnh hệ thống tùy ý. Các cuộc tấn công thực tế đã được ghi nhận khi các nhóm tin tặc khai thác lỗ hổng này để thiết lập chỗ đứng trong mạng nội bộ của nạn nhân, từ đó leo thang đặc quyền và triển khai các phần mềm độc hại khác.

Phân tích kỹ thuật & Công nghệ

Về mặt kỹ thuật, CVE-2026-25089 là một lỗi thuộc phân loại unauthenticated command injection điển hình. Khi FortiSandbox xử lý các tham số đầu vào thông qua API hoặc giao diện quản lý mà không thực hiện tiền lọc (sanitization) đầy đủ, hệ điều hành phía dưới sẽ thực thi các tham số này như một phần của lệnh hệ thống. Kẻ tấn công có thể chèn các ký tự đặc biệt như dấu chấm phẩy hoặc dấu gạch đứng để nối thêm các lệnh Shell độc hại, từ đó tải xuống mã độc hoặc thiết lập kết nối reverse shell trở lại máy chủ của kẻ tấn công.

Ý kiến chuyên gia & Nhận định

Các chuyên gia an ninh mạng khuyến cáo rằng việc FortiSandbox — một công cụ vốn được thiết kế để phát hiện và cô lập mã độc (sandbox) — lại chứa lỗ hổng thực thi lệnh trực tiếp là một rủi ro cực kỳ nghiêm trọng. Thiết bị này thường có quyền truy cập sâu vào lưu lượng mạng nội bộ để phân tích file, do đó việc nó bị xâm nhập có thể dẫn đến thảm họa rò rỉ dữ liệu diện rộng. Phản ứng từ cộng đồng bảo mật cho thấy các tổ chức cần ngay lập tức cô lập giao diện quản trị của FortiSandbox khỏi mạng Internet công cộng.

Tác động & Tương lai

Sự việc này tiếp tục gióng lên hồi chuông cảnh báo về tính an toàn của các thiết bị bảo mật biên từ các nhà cung cấp lớn như Fortinet. Đối với các doanh nghiệp và tổ chức tại Việt Nam đang vận hành hệ thống FortiSandbox, việc rà soát log và cập nhật bản vá từ nhà sản xuất là ưu tiên hàng đầu lúc này. Trong tương lai, các kỹ sư hệ thống cần áp dụng triệt để nguyên lý Zero Trust, hạn chế tối đa việc mở cổng quản trị của các thiết bị bảo mật ra ngoài Internet để giảm thiểu bề mặt tấn công trực diện.