Thứ nhất là CVE-2025-59718, một lỗ hổng cho phép vượt qua xác thực SSO của FortiCloud và ảnh hưởng đến FortiOS, FortiProxy và FortiSwitchManager. Nguyên nhân dẫn đến lỗ hổng do việc xác minh chữ ký mật mã không đúng cách trong các thông điệp SAML, cho phép kẻ tấn công đăng nhập mà không cần xác thực hợp lệ bằng cách gửi một yêu cầu SAML độc hại.
Trong khi đó, CVE-2025-59719 cũng là lỗ hổng vượt xác thực SSO của FortiCloud nhưng ảnh hưởng đến FortiWeb. Lỗ hổng phát sinh từ một vấn đề tương tự liên quan đến việc xác thực chữ ký mật mã của các thông điệp SAML, cho phép truy cập quản trị mà không cần xác thực thông qua SSO giả mạo.
Cả hai lỗ hổng này chỉ có thể bị khai thác nếu tính năng đăng nhập SSO của FortiCloud được bật, điều này không phải là cài đặt mặc định. Tuy nhiên, trừ khi tính năng này bị vô hiệu hóa, nó sẽ được kích hoạt tự động khi đăng ký thiết bị thông qua giao diện người dùng FortiCare.
Nhắm mục tiêu vào các tài khoản quản trị viên
Các nhà nghiên cứu tại Công ty an ninh mạng Arctic Wolf đã quan sát thấy các cuộc tấn công khai thác hai lỗ hổng bảo mật bắt đầu từ ngày 12/12. Họ lưu ý rằng các vụ xâm nhập bắt nguồn từ một số địa chỉ IP liên kết với The Constant Company, BL Networks và Kaopu Cloud HK. Dựa trên quan sát của Arctic Wolf, tin tặc đã nhắm mục tiêu vào các tài khoản quản trị bằng phương thức đăng nhập SSO độc hại.
.jpg)
Log vượt qua xác thực
Sau khi giành được quyền truy cập, tin tặc đăng nhập vào giao diện quản trị web và thực hiện các hành động như tải xuống các tệp cấu hình của hệ thống.
.jpg)
Log cho thấy hành vi độc hại
Các tệp cấu hình có thể tiết lộ sơ đồ mạng, các dịch vụ hướng ra Internet, chính sách tường lửa, các giao diện có khả năng dễ bị tấn công, bảng định tuyến và cả các mật khẩu có thể bị bẻ khóa nếu chúng được thiết lập yếu.
Chặn đứng các cuộc tấn công
Hai lỗi này ảnh hưởng đến nhiều phiên bản sản phẩm của Fortinet, ngoại trừ FortiOS 6.4, FortiWeb 7.0 và FortiWeb 7.2.
Để ngăn chặn các cuộc tấn công, Fortinet khuyến nghị các quản trị viên vẫn đang sử dụng phiên bản dễ bị tấn công nên tạm thời vô hiệu hóa tính năng đăng nhập FortiCloud cho đến khi có thể nâng cấp lên phiên bản an toàn hơn, cụ thể như sau: System > Settings > “Allow administrative login using FortiCloud SSO” = Off.
Quản trị viên hệ thống nên chuyển sang một trong các phiên bản sau đây để khắc phục cả hai lỗ hổng: FortiOS 7.6.4+, 7.4.9+, 7.2.12+ và 7.0.18+, FortiProxy 7.6.4+, 7.4.11+, 7.2.15+, 7.0.22+, FortiSwitchManager 7.2.7+, 7.0.6+, FortiWeb 8.0.1+, 7.6.5+, 7.4.10+.
Nếu phát hiện bất kỳ dấu hiệu xâm nhập nào, bạn nên thay đổi thông tin đăng nhập tường lửa càng sớm càng tốt. Arctic Wolf cũng khuyến nghị chỉ cho phép truy cập quản lý tường lửa/VPN vào các mạng nội bộ đáng tin cậy.
