Chưa kịp vá, 3 lỗ hổng Fortinet FortiSandbox đã bị hacker săn lùng

Có dấu hiệu cho thấy tin tặc đã bắt đầu khai thác nhiều lỗ hổng trong Fortinet FortiSandbox. Một trong số đó mới chỉ được Fortinet vá cách đây không lâu nhưng đã nhanh chóng xuất hiện các mã khai thác công khai trên Internet. Diễn biến này cho thấy các hệ thống chưa kịp cập nhật bản vá đang đứng trước nguy cơ bị tấn công và chiếm quyền kiểm soát từ xa.
​

Theo các nhà nghiên cứu bảo mật, hoạt động khai thác hiện tập trung vào ba lỗ hổng bảo mật ảnh hưởng đến FortiSandbox gồm CVE-2026-39813, CVE-2026-39808 và CVE-2026-25089. Trong đó, CVE-2026-25089 được đánh giá đặc biệt nghiêm trọng với điểm CVSS 9,8. Lỗ hổng này cho phép kẻ tấn công từ xa thực thi mã lệnh trên hệ thống mà không cần xác thực. Nói cách khác, chỉ cần thiết bị FortiSandbox có thể truy cập từ mạng, tin tặc có thể lợi dụng lỗ hổng để gửi các yêu cầu độc hại và chiếm quyền điều khiển thiết bị.

Hai lỗ hổng còn lại cũng mang lại khả năng tấn công nguy hiểm. CVE-2026-39808 liên quan đến lỗi chèn lệnh hệ điều hành (OS Command Injection), cho phép thực thi lệnh trái phép trên máy chủ. Trong khi đó, CVE-2026-39813 là lỗi bỏ qua cơ chế xác thực, giúp kẻ tấn công truy cập vào các chức năng vốn chỉ dành cho người dùng hợp lệ.​

Từ một thiết bị bảo mật trở thành điểm xâm nhập hệ thống​

FortiSandbox được thiết kế để phân tích các tập tin đáng ngờ, email hoặc phần mềm trước khi chúng được đưa vào môi trường vận hành thực tế. Vì vậy, sản phẩm này thường được triển khai tại những vị trí quan trọng trong hạ tầng CNTT của doanh nghiệp.

Chính vì vai trò đặc biệt đó, việc chiếm quyền kiểm soát FortiSandbox có thể mang lại cho tin tặc nhiều lợi thế. Sau khi xâm nhập thành công, kẻ tấn công có thể sử dụng thiết bị như một bàn đạp để di chuyển sâu hơn vào mạng nội bộ, đánh cắp dữ liệu, cài đặt mã độc hoặc triển khai các chiến dịch tấn công tiếp theo.

Các chuyên gia nhận định rằng đây là lý do khiến những sản phẩm bảo mật doanh nghiệp thường trở thành mục tiêu ưu tiên của các nhóm tấn công mạng. Một khi kiểm soát được thiết bị bảo mật, tin tặc có thể lợi dụng chính hạ tầng phòng thủ của tổ chức để phục vụ cho các hoạt động xâm nhập.​

Mã khai thác đã xuất hiện công khai​

Điều đáng lo ngại là mã khai thác mẫu (PoC) cho ít nhất một trong các lỗ hổng đã được công khai trên Internet. Theo các chuyên gia theo dõi hoạt động đe dọa mạng, các nỗ lực khai thác nhắm vào CVE-2026-39808 và CVE-2026-39813 đã được ghi nhận từ giữa tháng 6/2026.

Sự xuất hiện của PoC thường là dấu hiệu cho thấy khoảng thời gian an toàn dành cho các tổ chức đang thu hẹp nhanh chóng. Khi thông tin kỹ thuật và mã khai thác được công khai, không chỉ các nhóm tin tặc có trình độ cao mà cả những đối tượng ít kinh nghiệm hơn cũng có thể tận dụng để tiến hành tấn công.

Trong nhiều trường hợp trước đây, thời gian từ khi PoC được công bố đến khi xuất hiện các cuộc tấn công thực tế chỉ kéo dài vài giờ hoặc vài ngày.​

Doanh nghiệp có thể đối mặt với những rủi ro nào?​

Nếu các lỗ hổng bị khai thác thành công, hậu quả có thể vượt xa phạm vi của riêng thiết bị FortiSandbox.

Kẻ tấn công có thể:​

Đối với các tổ chức lớn, đặc biệt là cơ quan chính phủ, ngân hàng, doanh nghiệp viễn thông hoặc đơn vị cung cấp dịch vụ số, những rủi ro này có thể dẫn tới gián đoạn hoạt động và thiệt hại tài chính đáng kể.​

Các tổ chức cần làm gì ngay lúc này?​

Các chuyên gia khuyến nghị doanh nghiệp cần khẩn trương kiểm tra phiên bản FortiSandbox đang sử dụng và áp dụng các bản cập nhật mới nhất do Fortinet phát hành.

Bên cạnh việc vá lỗi, các tổ chức nên rà soát nhật ký truy cập để tìm kiếm dấu hiệu bất thường, kiểm tra các tài khoản quản trị, xác minh các thay đổi cấu hình gần đây và đánh giá khả năng thiết bị đã bị truy cập trái phép trước đó hay chưa.

Nếu thiết bị được phép truy cập trực tiếp từ Internet, cần cân nhắc hạn chế phạm vi truy cập, triển khai các cơ chế kiểm soát bổ sung và tăng cường giám sát lưu lượng mạng nhằm phát hiện sớm hoạt động khai thác.

Trong bối cảnh mã khai thác đã xuất hiện công khai và các cuộc tấn công đang diễn ra ngoài thực tế, việc trì hoãn cập nhật bản vá có thể khiến doanh nghiệp trở thành mục tiêu tiếp theo.

Sự việc một loạt lỗ hổng nghiêm trọng trên Fortinet FortiSandbox nhanh chóng bị khai thác sau khi được công bố cho thấy tốc độ phản ứng của các nhóm tấn công mạng ngày càng nhanh hơn. Những sản phẩm bảo mật vốn được triển khai để bảo vệ doanh nghiệp giờ đây cũng đang trở thành mục tiêu hấp dẫn đối với tin tặc. Việc cập nhật bản vá kịp thời, giám sát hệ thống liên tục và xây dựng quy trình ứng phó sự cố hiệu quả không còn là lựa chọn, mà đã trở thành yêu cầu bắt buộc đối với mọi tổ chức đang vận hành hạ tầng số.​