Cảnh báo: Tin tặc đang khai thác 3 lỗ hổng nghiêm trọng trên Fortinet FortiSandbox

Theo báo cáo từ công ty tình báo mối đe dọa Defused Cyber, các nhóm tin tặc đang tích cực khai thác nhiều lỗ hổng bảo mật trên dòng sản phẩm Fortinet FortiSandbox. Chỉ trong vòng 24 giờ qua, các chuyên gia đã ghi nhận hoạt động khai thác nhắm vào ba mã định danh: CVE-2026-39813, CVE-2026-39808 và CVE-2026-25089.

Chi tiết các lỗ hổng đang bị khai thác

• CVE-2026-39813 (CVSS 9.1): Lỗ hổng path traversal trong JRPC API của FortiSandbox. Kẻ tấn công không cần xác thực có thể lợi dụng lỗ hổng này để bypass cơ chế kiểm soát thông qua các yêu cầu HTTP được thiết kế đặc biệt.
• CVE-2026-39808 (CVSS 9.1): Lỗ hổng cho phép chèn lệnh hệ điều hành (OS command injection). Tương tự, kẻ tấn công không cần xác thực có thể thực thi mã độc hoặc các lệnh trái phép từ xa. Cả hai lỗ hổng này đều đã được Fortinet phát hành bản vá từ tháng 4/2026.
• CVE-2026-25089 (CVSS 9.1): Đây là lỗ hổng mới nhất được phát hiện và vừa có bản vá vào tuần trước. Lỗ hổng này ảnh hưởng đến giao diện web của FortiSandbox, FortiSandbox Cloud và FortiSandbox PaaS, cho phép thực thi lệnh trái phép thông qua các yêu cầu HTTP tùy chỉnh.

Đáng chú ý, các nhà nghiên cứu từ Defused Cyber cho biết mã khai thác (exploit) cho CVE-2026-25089 có dấu hiệu được tạo ra bởi trí tuệ nhân tạo (AI), tuy nhiên đoạn mã này hiện vẫn còn lỗi và chưa có bản khai thác hoàn chỉnh nào được công bố rộng rãi.

Trong những năm gần đây, các thiết bị của Fortinet thường xuyên trở thành mục tiêu hàng đầu của giới tội phạm mạng. Trước đó, vào tháng 4/2026, Fortinet cũng đã phải phát hành các bản vá khẩn cấp cho lỗ hổng nghiêm trọng trên FortiClient EMS (CVE-2026-35616) sau khi phát hiện các cuộc tấn công thực tế (in-the-wild). Người dùng và quản trị viên hệ thống được khuyến cáo kiểm tra và cập nhật các bản vá mới nhất từ nhà sản xuất để đảm bảo an toàn cho hạ tầng mạng.

Nguồn tham khảo: The Hacker News