Lỗ hổng trên tường lửa WatchGuard Firebox: Nguy cơ kiểm soát toàn bộ hệ thống mạng

[WhiteHat Team]

Một lỗ hổng bảo mật vừa được phát hiện trong dòng tường lửa WatchGuard Firebox, thiết bị vốn được nhiều doanh nghiệp, tổ chức sử dụng để bảo vệ hệ thống mạng. Lỗ hổng này, được gán mã CVE-2025-9242, cho phép tin tặc từ xa, không cần đăng nhập hay có bất kỳ tài khoản nào, vẫn có thể tấn công và chiếm quyền kiểm soát thiết bị. Với CVSS là 9,3, thì mức cảnh báo đã đạt ngưỡng “nguy cấp” trong đánh giá an ninh mạng.

Theo khuyến cáo chính thức từ WatchGuard (advisory mã WGSA-2025-00015), vấn đề nằm trong tiến trình iked của hệ điều hành Fireware OS. Đây là thành phần chịu trách nhiệm triển khai giao thức IKE (Internet Key Exchange), công nghệ cốt lõi để thiết lập các kết nối VPN an toàn.

Lỗi được xác định là out-of-bounds write (việc xử lý dữ liệu vượt quá giới hạn bộ nhớ cho phép). Nếu kẻ tấn công gửi những gói tin được chế tạo đặc biệt, thiết bị sẽ xử lý sai dữ liệu, tạo điều kiện để chúng chèn và thực thi mã độc ngay trên tường lửa. Điều này có nghĩa là chỉ cần một kết nối độc hại từ Internet, không cần xác thực, tường lửa có thể bị chiếm toàn quyền điều khiển.

Một khi bị khai thác thành công, kẻ tấn công có thể:

• Toàn quyền điều khiển tường lửa, biến nó thành bàn đạp để xâm nhập sâu hơn vào mạng nội bộ.
• Đánh cắp hoặc chặn luồng dữ liệu đang truyền qua VPN.
• Vô hiệu hóa các lớp bảo mật khác, khiến doanh nghiệp mất khả năng giám sát và phòng thủ.

Các phiên bản bị ảnh hưởng trải dài từ Fireware OS 11.10.2 tới 11.12.4_Update1, các bản 12.0 tới 12.11.3 và thậm chí cả bản phát hành mới nhất 2025.1. Đáng chú ý, thiết bị vẫn có thể tiếp tục bị ảnh hưởng ngay cả khi người dùng đã xóa cấu hình VPN rủi ro, nếu vẫn tồn tại một số thiết lập VPN khác dạng static peer. Điều này khiến việc đánh giá và xử lý lỗ hổng càng trở nên phức tạp.

Lỗ hổng này được đánh giá ở mức nguy cấp vì đáp ứng nhiều yếu tố rủi ro cùng lúc:

• Không cần xác thực: Bất kỳ ai trên Internet cũng có thể tấn công.
• Tác động toàn diện: Ảnh hưởng đến tính bí mật (confidentiality), tính toàn vẹn (integrity) và tính sẵn sàng (availability) của hệ thống.
• Phổ biến rộng: Firebox là dòng tường lửa phổ biến, được sử dụng từ doanh nghiệp vừa và nhỏ cho tới các tổ chức lớn.

Điều đó đồng nghĩa, hàng nghìn tổ chức trên toàn cầu có thể đang đứng trước nguy cơ bị gián đoạn hoặc rò rỉ dữ liệu nếu chưa kịp cập nhật bản vá.

WatchGuard đã phát hành bản vá cho các phiên bản Fireware OS, bao gồm 2025.1.1, 12.11.4, 12.5.13 (dành cho các model T15 & T35) và 12.3.1_Update3 cho bản FIPS. Doanh nghiệp cần khẩn trương:

• Cập nhật ngay hệ điều hành Fireware OS lên phiên bản được khuyến nghị.
• Kiểm tra toàn bộ cấu hình VPN, đặc biệt là các kết nối IKEv2 và các VPN peer tĩnh, để loại bỏ khả năng thiết bị vẫn còn nằm trong diện nguy hiểm.
• Triển khai biện pháp tạm thời nếu chưa thể vá ngay, tuân thủ hướng dẫn bảo mật của WatchGuard cho các VPN chi nhánh và VPN di động.
• Tăng cường giám sát mạng, phát hiện sớm các hoạt động bất thường, đặc biệt liên quan đến lưu lượng VPN.

CVE-2025-9242 cho thấy ngay cả những thiết bị vốn được xem là “lá chắn” cho hệ thống mạng cũng có thể trở thành điểm yếu chí tử nếu tồn tại lỗ hổng chưa được khắc phục. Với mức độ nguy hiểm cao và phạm vi ảnh hưởng rộng, đây là lời nhắc nhở mạnh mẽ cho các doanh nghiệp: Cập nhật, kiểm tra và giám sát hệ thống bảo mật không bao giờ là việc có thể trì hoãn.