Cảnh báo lỗ hổng zero-day mới của FortiWeb bị khai thác trong các cuộc tấn công

Với mã định danh CVE-2025-58034, lỗ hổng Command Injection này được phát hiện và báo cáo bởi chuyên gia bảo mật Jason McFadyen thuộc nhóm Nghiên cứu xu hướng của Trend Micro. Những kẻ đe dọa đã xác thực có thể thực thi mã bằng cách khai thác thành công lỗ hổng trong các cuộc tấn công có độ phức tạp thấp không yêu cầu tương tác của người dùng.

Fortinet cho biết: “CVE-2025-58034 cho phép kẻ tấn công thực thi mã trái phép trên hệ thống bị xâm nhập thông qua các yêu cầu HTTP hoặc lệnh CLI được tạo thủ công”, công ty an ninh mạng của Mỹ lưu ý. Trend Micro chia sẻ rằng họ đã quan sát thấy các cuộc tấn công sử dụng lỗ hổng này trong thực tế với khoảng 2000 lần phát hiện cho đến nay. Để ngăn chặn các cuộc tấn công tiềm tàng, các nhà nghiên cứu khuyến nghị quản trị viên nên nâng cấp thiết bị FortiWeb của mình lên phần mềm mới nhất hiện có.

Trước đó, Fortinet cũng xác nhận rằng họ đã vá một lỗ hổng zero-day khác của FortiWeb (CVE-2025-64446) vào ngày 28/10, ba tuần sau khi công ty tình báo mối đe dọa Defused lần đầu tiên báo cáo về hoạt động khai thác. Theo Defused, kẻ tấn công sử dụng các yêu cầu HTTP POST để tạo tài khoản cấp quản trị viên mới trên các thiết bị kết nối Internet.

Vào ngày 14/11, Cơ quan An ninh mạng và Cơ sở hạ tầng Mỹ (CISA) cũng đã thêm CVE-2025-64446 vào danh mục các lỗ hổng bảo mật đang bị khai thác tích cực và ra lệnh cho các cơ quan liên bang bảo mật hệ thống của họ trước ngày 21/11.

Tháng 8/2025, Fortinet cũng đã khắc phục một lỗ hổng Command Injection khác (CVE-2025-25256) bằng mã khai thác có sẵn công khai trong giải pháp giám sát bảo mật FortiSIEM, một ngày sau báo cáo từ công ty an ninh mạng GreyNoise về sự gia tăng đột biến các cuộc tấn công Brute Force nhắm vào VPN SSL của Fortinet.

Các lỗ hổng của Fortinet bị khai thác (thường là zero-day) trong các cuộc tấn công gián điệp mạng và mã độc tống tiền. Đơn cử, Fortinet đã tiết lộ vào tháng 02/2025 rằng, nhóm tin tặc Volt Typhoon của Trung Quốc đã khai thác hai lỗ hổng SSL VPN của FortiOS (CVE-2022-42475 và CVE-2023-27997) để tạo backdoor trên mạng lưới quân sự của Bộ Quốc phòng Hà Lan bằng mã độc Trojan truy cập từ xa (RAT) Coathanger tùy chỉnh.