Cảnh báo: Tin tặc đang khai thác 3 lỗ hổng nghiêm trọng trên Fortinet FortiSandbox

Theo báo cáo từ công ty tình báo đe dọa Defused Cyber, các đối tượng tấn công đang tích cực khai thác nhiều lỗ hổng bảo mật trên thiết bị Fortinet FortiSandbox. Chỉ trong vòng 24 giờ qua, các chuyên gia đã ghi nhận các nỗ lực tấn công nhắm vào ba mã định danh: CVE-2026-39813, CVE-2026-39808 và CVE-2026-25089.

Chi tiết các lỗ hổng

Hai lỗ hổng đầu tiên đã được Fortinet phát hành bản vá từ tháng 4/2026:

• CVE-2026-39813 (Điểm CVSS 9.1): Lỗ hổng path traversal trong API JRPC của FortiSandbox, cho phép kẻ tấn công không cần xác thực có thể bypass cơ chế bảo mật thông qua các yêu cầu HTTP được thiết kế đặc biệt.
• CVE-2026-39808 (Điểm CVSS 9.1): Lỗ hổng command injection cho phép kẻ tấn công thực thi mã hoặc lệnh trái phép trên hệ điều hành thông qua các yêu cầu HTTP độc hại.

Đáng chú ý nhất là lỗ hổng CVE-2026-25089 (điểm CVSS 9.1), vừa được Fortinet khắc phục vào tuần trước. Lỗ hổng này ảnh hưởng đến giao diện WEB UI của FortiSandbox, FortiSandbox Cloud và FortiSandbox PaaS, cho phép kẻ tấn công thực thi lệnh trái phép mà không cần xác thực.

Dấu vết từ AI trong mã khai thác

Defused Cyber lưu ý rằng mã khai thác (exploit) cho CVE-2026-25089 có dấu hiệu được tạo ra bởi các mô hình trí tuệ nhân tạo (AI). Tuy nhiên, các đoạn mã này hiện tại vẫn đang bị lỗi và chưa có bản exploit hoàn chỉnh nào được công bố rộng rãi.

Trong những năm gần đây, các thiết bị của Fortinet thường xuyên trở thành mục tiêu hàng đầu của giới tin tặc. Trước đó vào tháng 4/2026, hãng cũng đã phải tung ra các bản vá khẩn cấp cho lỗ hổng nghiêm trọng trên FortiClient EMS (CVE-2026-35616) sau khi phát hiện các cuộc tấn công thực tế trong môi trường mạng.

Người dùng và quản trị viên hệ thống được khuyến cáo kiểm tra và cập nhật các bản vá mới nhất từ Fortinet ngay lập tức để đảm bảo an toàn cho hạ tầng mạng của mình.

Nguồn tham khảo: The Hacker News