Tường lửa Fortinet bị xâm phạm trong cuộc tấn công đánh cắp mật khẩu lớn

Fortinet, nhà cung cấp giải pháp bảo mật mạng hàng đầu, đang phải đối mặt với một vụ vi phạm bảo mật nghiêm trọng ảnh hưởng đến hàng nghìn khách hàng sử dụng tường lửa của mình. Một cuộc tấn công đánh cắp mật khẩu tinh vi có khả năng xâm phạm thông tin xác thực của khoảng 75.000 người dùng trên toàn thế giới, gây ra mối lo ngại nghiêm trọng về bảo mật doanh nghiệp và tính toàn vẹn của cơ chế bảo vệ cơ sở hạ tầng quan trọng.

Chi tiết về vi phạm bảo mật

Cuộc tấn công được các chuyên gia an ninh mạng mô tả là một trong những vụ tấn công nghiêm trọng nhất nhằm vào các giải pháp tường lửa doanh nghiệp trong những năm gần đây, đặc biệt nhắm vào các thiết bị FortiGate của Fortinet. Những kẻ tấn công đã khai thác một lỗ hổng chưa được biết trước đây để đánh cắp thông tin đăng nhập của quản trị viên, có khả năng cấp cho họ quyền truy cập trái phép vào các mạng được bảo vệ.

Theo tư vấn bảo mật của Fortinet, lỗ hổng này ảnh hưởng đến một số phiên bản nhất định của hệ điều hành FortiOS, hệ điều hành hỗ trợ các sản phẩm tường lửa doanh nghiệp của họ. Công ty đã xác nhận rằng những kẻ tấn công đã sử dụng cách khai thác zero-day—một lỗ hổng mà trước đây nhà cung cấp chưa biết đến—để vượt qua các cơ chế xác thực và trích xuất thông tin nhạy cảm.

Phân tích kỹ thuật của cuộc tấn công

Các nhà nghiên cứu an ninh mạng đã xác định rằng vectơ tấn công liên quan đến lỗ hổng trong giao diện quản lý web của FortiOS. Những kẻ tấn công có thể gửi các yêu cầu HTTP được tạo ra đặc biệt để kích hoạt tình trạng tràn bộ đệm, cho phép chúng thực thi mã tùy ý với các đặc quyền nâng cao. Sau đó, mã này sẽ trích xuất thông tin đăng nhập được lưu trữ từ cấu hình của thiết bị.

Bảng sau liệt kê các phiên bản FortiOS bị ảnh hưởng:

Đánh giá tác động

Quy mô của cuộc tấn công này đặc biệt đáng lo ngại, với ước tính cho thấy khoảng 75.000 cài đặt tường lửa Fortinet trên toàn thế giới có thể đã bị xâm phạm. Các thiết bị này thường được triển khai ở phạm vi mạng công ty, khiến chúng trở thành mục tiêu hàng đầu cho những kẻ tấn công tìm cách xâm nhập vào các môi trường được bảo vệ.

Các tổ chức bị ảnh hưởng bởi vi phạm này phải đối mặt với nhiều rủi ro, bao gồm:

• Truy cập trái phép vào mạng nội bộ
• Lọc dữ liệu và đánh cắp tài sản trí tuệ
• Cài đặt phần mềm tống tiền hoặc phần mềm độc hại khác
• Sử dụng các thiết bị bị xâm nhập làm điểm mấu chốt cho các cuộc tấn công tiếp theo
• Vi phạm tuân thủ và các hình phạt theo quy định

Phân phối địa lý của các thiết bị bị ảnh hưởng

Mặc dù Fortinet chưa công bố thông tin địa lý chi tiết về các thiết bị bị xâm nhập nhưng các chuyên gia an ninh mạng cho rằng cuộc tấn công có phạm vi tiếp cận toàn cầu, tập trung đặc biệt cao ở các khu vực Bắc Mỹ, Châu Âu và Châu Á-Thái Bình Dương. Bảng sau đây cung cấp ước tính sơ bộ về các khu vực bị ảnh hưởng:

Phiên bản FortiOS	Trạng thái lỗ hổng
7.0.0 đến 7.0.6	Đã xác nhận là dễ bị tổn thương
6.4.0 đến 6.4.12	Đã xác nhận là dễ bị tổn thương
6.0.0 đến 6.0.11	Đã xác nhận là dễ bị tổn thương
Các phiên bản khác	Đang điều tra

Phản ứng và giảm thiểu của Fortinet

Fortinet đã phản ứng nhanh chóng với sự cố bảo mật, phát hành các bản vá bảo mật cho tất cả các phiên bản FortiOS bị ảnh hưởng. Công ty cũng đã ban hành hướng dẫn chi tiết cho khách hàng về cách phát hiện nguy cơ bị xâm phạm và bảo mật thiết bị của họ.

Trong một tuyên bố công khai, Giám đốc An ninh Thông tin của Fortinet nhấn mạnh cam kết của công ty đối với vấn đề bảo mật khách hàng: "Chúng tôi cực kỳ coi trọng vấn đề bảo mật môi trường của khách hàng. Chúng tôi đã làm việc suốt ngày đêm để phát triển và triển khai các bản vá cho lỗ hổng này và đang tích cực hỗ trợ khách hàng trong các nỗ lực khắc phục."

Công ty đã thành lập một nhóm ứng phó sự cố chuyên trách để giúp đỡ các tổ chức bị ảnh hưởng và hứa sẽ cung cấp thông tin cập nhật thường xuyên khi cuộc điều tra tiếp tục.

Các hành động được đề xuất cho các tổ chức bị ảnh hưởng

Fortinet đã khuyên khách hàng nên thực hiện các hành động ngay lập tức sau:

• Áp dụng các bản vá bảo mật mới nhất cho tất cả các thiết bị FortiOS
• Thay đổi tất cả thông tin xác thực quản trị trên các thiết bị bị ảnh hưởng
• Giám sát lưu lượng truy cập mạng để phát hiện hoạt động bất thường
• Xem lại nhật ký tường lửa để tìm dấu hiệu truy cập trái phép
• Triển khai phân đoạn mạng bổ sung để hạn chế thiệt hại tiềm tàng
• Tiến hành đánh giá bảo mật toàn diện cho toàn bộ mạng

Ý nghĩa rộng hơn đối với an ninh mạng

Sự cố này nêu bật một số xu hướng đáng lo ngại trong bối cảnh an ninh mạng:

• Mức độ tinh vi ngày càng tăng của các cuộc tấn công nhằm vào cơ sở hạ tầng doanh nghiệp
• Giá trị ngày càng tăng của thông tin xác thực tường lửa dưới dạng vectơ tấn công
• Những thách thức của việc duy trì bảo mật trong môi trường phức tạp, có nhiều nhà cung cấp
• Tầm quan trọng của việc quản lý bản vá kịp thời và khắc phục lỗ hổng bảo mật
• Nhu cầu về khả năng giám sát và phát hiện mối đe dọa liên tục

Các chuyên gia an ninh mạng lưu ý rằng cuộc tấn công này nhấn mạnh tầm quan trọng của việc giả định các tình huống vi phạm và thực hiện các chiến lược phòng thủ chuyên sâu. Các tổ chức không nên chỉ dựa vào các biện pháp bảo vệ vành đai mà nên triển khai nhiều lớp bảo mật, bao gồm phân đoạn mạng, bảo vệ điểm cuối và phân tích hành vi người dùng.

Phản ứng và phân tích của ngành

Các nhà phân tích bảo mật đã mô tả cuộc tấn công Fortinet là đặc biệt đáng lo ngại do tường lửa đóng vai trò quan trọng trong an ninh mạng. Một chuyên gia trong ngành lưu ý: “Tường lửa thường được coi là tuyến phòng thủ đầu tiên trong bảo mật doanh nghiệp”. "Khi các thiết bị này bị xâm phạm, kẻ tấn công có thể vượt qua nhiều biện pháp kiểm soát bảo mật truyền thống và giành được quyền truy cập sâu vào các mạng được bảo vệ."

Vụ việc cũng làm dấy lên các cuộc thảo luận về tính bảo mật của các thành phần cơ sở hạ tầng mạng khác, trong đó các nhà nghiên cứu bảo mật kêu gọi tăng cường giám sát các sản phẩm của nhà cung cấp khác và các chương trình tiết lộ lỗ hổng mạnh mẽ hơn.

Kết luận và triển vọng tương lai

Vụ vi phạm tường lửa của Fortinet đóng vai trò như một lời nhắc nhở rõ ràng về bối cảnh mối đe dọa ngày càng gia tăng và tầm quan trọng đặc biệt của các biện pháp bảo mật chủ động. Mặc dù công ty đã phản ứng nhanh chóng bằng các bản vá và hướng dẫn giảm thiểu, nhưng sự cố này có thể sẽ có tác động lâu dài đến cách các tổ chức tiếp cận cơ sở hạ tầng bảo mật.

Từ nay về sau, các chuyên gia bảo mật khuyến nghị các tổ chức:

• Thực hiện đánh giá bảo mật thường xuyên và thử nghiệm thâm nhập
• Thiết lập các chương trình quản lý lỗ hổng mạnh mẽ
• Nâng cao khả năng giám sát để phát hiện hoạt động bất thường
• Xây dựng kế hoạch ứng phó sự cố toàn diện
• Thúc đẩy văn hóa nhận thức về bảo mật ở tất cả các cấp trong tổ chức

Khi cuộc điều tra về cuộc tấn công này tiếp tục, các tổ chức sử dụng sản phẩm của Fortinet nên luôn cảnh giác và làm theo hướng dẫn do công ty cung cấp. Sự cố này cũng đóng vai trò như một lời cảnh báo rộng rãi hơn về tính bảo mật của các thành phần cơ sở hạ tầng mạng trong bối cảnh kỹ thuật số ngày càng phức tạp và kết nối với nhau.

Tường lửa Fortinet bị tấn công đánh cắp mật khẩu quy mô lớn — khoảng 75.000 người dùng có thể bị ảnh hưởng https://www.techradar.com/pro/security/fortinet-firewalls-hit-by-huge-password-stealing-Attack-around-75-000-users-possible-affected Tường lửa Fortinet bị tấn công đánh cắp mật khẩu quy mô lớn – khoảng 75.000 người dùng có thể bị ảnh hưởng https://www.techradar.com/pro/security/fortinet-firewalls-hit-by-huge-password-stealing-Attack-around-75-000-users-possible-affected

Khu vực	Tỷ lệ phần trăm ước tính của thiết bị bị ảnh hưởng
Bắc Mỹ	35%
Châu Âu	30%
Châu Á-Thái Bình Dương	25%
Các khu vực khác	10%