An ninh mạng

CISA cảnh báo khẩn cấp: Chiến dịch ‘FortiBleed’ tấn công hơn 86.000 thiết bị FortiGate

Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) vừa đưa ra cảnh báo về chiến dịch tấn công quy mô lớn mang tên 'FortiBleed', ảnh hưởng đến hơn 86.000 thiết bị FortiGate trên toàn cầu thông qua...

Nguyen Hung
20 Tháng 6, 2026 3 Min Read
2 0

Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) vừa phát đi cảnh báo khẩn cấp tới người dùng Fortinet về một chiến dịch tấn công mạng quy mô lớn đang nhắm vào các thiết bị FortiGate có khả năng truy cập từ internet. Chiến dịch này, được các nhà nghiên cứu đặt tên là FortiBleed, đã ghi nhận hơn 86.644 thiết bị bị xâm nhập tính đến ngày 19/6/2026.

Table Of Content

Chiến dịch FortiBleed hoạt động như thế nào?

Theo dữ liệu từ SOCRadar, kẻ tấn công – được cho là các nhóm tội phạm mạng nói tiếng Nga – đã sử dụng một công cụ tùy chỉnh để quét internet nhằm tìm kiếm các điểm cuối đăng nhập từ xa của Fortinet. Sau đó, chúng thực hiện kỹ thuật credential stuffing (nhồi thông tin xác thực) bằng cách sử dụng các cặp tên đăng nhập và mật khẩu đã bị rò rỉ từ trước.

Đáng chú ý, khoảng 35% tài khoản bị chiếm đoạt là tài khoản quản trị mặc định và 28,3% là tài khoản hệ thống tích hợp của Fortinet. Điều này cho thấy sự lơ là trong việc thay đổi mật khẩu mặc định hoặc cập nhật thông tin xác thực định kỳ. Các lĩnh vực bị ảnh hưởng nặng nề nhất bao gồm viễn thông, chính phủ và giáo dục, với phạm vi lan rộng tại nhiều quốc gia như Ấn Độ, Mỹ, Mexico, Colombia và Thái Lan.

Vấn đề về cơ chế lưu trữ mật khẩu

Các chuyên gia từ Arctic Wolf chỉ ra rằng, nhiều tổ chức vẫn đang sử dụng cơ chế lưu trữ mật khẩu cũ dựa trên SHA-256. Mặc dù Fortinet đã giới thiệu cơ chế băm mật khẩu PBKDF2 an toàn hơn trong các phiên bản FortiOS mới (7.2.11, 7.4.8, 7.6.1 trở lên), nhưng mật khẩu cũ vẫn tồn tại dưới dạng SHA-256 cho đến khi quản trị viên thực hiện đăng nhập thành công sau khi nâng cấp.

Khuyến nghị từ CISA

Để bảo vệ hệ thống trước chiến dịch FortiBleed, CISA và các chuyên gia an ninh mạng khuyến nghị các tổ chức thực hiện ngay các bước sau:

  • Thiết lập lại thông tin xác thực: Chấm dứt tất cả các phiên SSL VPN và quản trị đang hoạt động, đồng thời thay đổi toàn bộ mật khẩu quản trị và VPN.
  • Áp dụng MFA: Bắt buộc sử dụng xác thực đa yếu tố (MFA) có khả năng chống phishing trên tất cả các cổng kết nối bên ngoài và giao diện quản trị.
  • Nâng cấp bảo mật: Chuyển đổi sang thuật toán PBKDF2 để lưu trữ thông tin xác thực quản trị viên và loại bỏ các hash cũ yếu kém.
  • Giám sát hệ thống: Kiểm tra kỹ các log của tường lửa, VPN và domain controller để phát hiện các dấu hiệu bất thường hoặc thay đổi cấu hình trái phép.
  • Thu hẹp bề mặt tấn công: Hạn chế quyền truy cập vào các giao diện quản lý từ internet công cộng.

Phía Fortinet cho biết, các dữ liệu bị khai thác trong vụ việc này chủ yếu là kết quả của việc tổng hợp từ các sự cố rò rỉ trước đó và các cuộc tấn công brute-force, đồng thời khẳng định đây không phải là lỗ hổng zero-day mới trong sản phẩm của hãng. Tuy nhiên, đây là lời nhắc nhở đắt giá về tầm quan trọng của việc duy trì vệ sinh mật khẩu và quản lý thiết bị an toàn trong môi trường doanh nghiệp.

Nguồn tham khảo: The Hacker News

Share Article

Nguyen Hung

No Comment! Be the first one.

Để lại một bình luận

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *

Related Posts

Our site uses cookies. By using this site, you agree to the Privacy Policy and Terms of Use.

Accept