An ninh mạng

Tin tặc khai thác lỗ hổng nghiêm trọng trên FortiClient EMS để phát tán mã độc đánh cắp thông tin

Các nhóm tin tặc đang tích cực khai thác lỗ hổng bảo mật nghiêm trọng trên FortiClient EMS để chiếm quyền điều khiển và phát tán mã độc đánh cắp thông tin người...

Nguyen Hung
29 Tháng 5, 2026 2 Min Read
1 0

Các chuyên gia an ninh mạng từ Arctic Wolf vừa đưa ra cảnh báo về một chiến dịch tấn công đang diễn ra, nhắm vào lỗ hổng bảo mật nghiêm trọng trên hệ thống FortiClient Endpoint Management Server (EMS). Kẻ tấn công lợi dụng lỗ hổng này để phát tán mã độc đánh cắp thông tin (credential stealer) trên các thiết bị đầu cuối được quản lý.

Table Of Content

Chi tiết về lỗ hổng CVE-2026-35616

Lỗ hổng được xác định là CVE-2026-35616 (điểm CVSS 9.1), cho phép kẻ tấn công thực hiện bypass xác thực API, từ đó dẫn đến leo thang đặc quyền. Fortinet đã phát hành bản patch khắc phục vấn đề này trong phiên bản FortiClient EMS 7.4.7 và các bản cập nhật mới hơn.

Cơ chế tấn công tinh vi

Theo báo cáo, tin tặc đã tận dụng hạ tầng quản lý thiết bị đầu cuối hợp pháp để thực thi mã độc. Quy trình tấn công bao gồm các bước:

  • Thao túng cấu hình: Kẻ tấn công sửa đổi cấu hình hệ thống để trì hoãn các thông báo cập nhật firmware, đồng thời thay đổi cấu hình Remote Access Profile và chính sách thiết bị để chèn các script độc hại.
  • Ngụy trang mã độc: Mã độc được ngụy trang dưới dạng một bản cập nhật hợp lệ của Fortinet (tên tệp FortiEndpoint_Patch.exe).
  • Thực thi qua PowerShell: Kẻ tấn công sử dụng tệp fortitray.exe (một tệp thực thi hợp lệ của FortiClient) để khởi chạy script .cmd, từ đó kích hoạt các lệnh PowerShell được mã hóa Base64 để tải xuống payload độc hại.

Khi đã chiếm được quyền kiểm soát thông qua EMS, mọi thiết bị đầu cuối được quản lý đều trở thành mục tiêu tiềm năng mà không cần phải tấn công trực tiếp vào từng thiết bị riêng lẻ.

Mối đe dọa từ mã độc đánh cắp dữ liệu

Mã độc này có khả năng thu thập dữ liệu nhạy cảm từ các trình duyệt dựa trên Chromium và Gecko, bao gồm: mật khẩu, cookie, thông tin tự động điền (autofill), địa chỉ và thông tin thẻ tín dụng. Dữ liệu sau khi thu thập sẽ được gửi về máy chủ điều khiển (C2) của tin tặc thông qua các yêu cầu HTTP POST.

Các chuyên gia nhấn mạnh rằng việc mất cắp cookie phiên (session cookies) và thông tin đăng nhập trình duyệt có thể tạo điều kiện cho tin tặc truy cập trái phép vào các dịch vụ cloud, ứng dụng nội bộ và các tài nguyên quan trọng khác, ngay cả khi hệ thống có áp dụng xác thực đa yếu tố (MFA).

Người dùng và quản trị viên hệ thống được khuyến cáo kiểm tra phiên bản FortiClient EMS đang sử dụng và cập nhật ngay lập tức lên bản vá mới nhất để ngăn chặn các cuộc tấn công tương tự.

Nguồn tham khảo: The Hacker News

Share Article

Nguyen Hung

No Comment! Be the first one.

Để lại một bình luận

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *

Related Posts

Our site uses cookies. By using this site, you agree to the Privacy Policy and Terms of Use.

Accept