Khẩn cấp: 10 lỗ hổng CVE nghiêm trọng WatchGuard Firebox

WatchGuard đã phát hành một **cảnh báo CVE** khẩn cấp liên quan đến mười **lỗ hổng CVE** nghiêm trọng ảnh hưởng đến các thiết bị tường lửa Firebox. Những **lỗ hổng CVE** này bao gồm nhiều mức độ nghiêm trọng và vector tấn công, yêu cầu các tổ chức phải tiến hành **cập nhật bản vá** ngay lập tức để ngăn chặn các cuộc tấn công mạng nguy hiểm, bao gồm thực thi mã tùy ý và rò rỉ thông tin nhạy cảm.

Nội dung

Tổng Quan về Các Lỗ Hổng CVE Nghiêm Trọng trong WatchGuard Firebox

Các Lỗ Hổng Thực Thi Mã Từ Xa (Remote Code Execution – RCE)

Lỗ Hổng Rò Rỉ Thông Tin và Bypass Kiểm Tra Toàn Vẹn Hệ Thống

Lỗ Hổng Từ Chối Dịch Vụ (Denial-of-Service – DoS)

Lỗ Hổng Cross-Site Scripting (XSS) và Các Rủi Ro Tích Hợp

Các Phiên Bản Đã Vá và Khuyến Nghị Cập Nhật Khẩn Cấp

Tổng Quan về Các Lỗ Hổng CVE Nghiêm Trọng trong WatchGuard Firebox

Các lỗ hổng được công bố vào ngày 4 tháng 12 năm 2025, trải rộng trên nhiều khía cạnh bảo mật. Từ thực thi mã từ xa (RCE) đến rò rỉ thông tin và từ chối dịch vụ (DoS). Việc bỏ qua các kiểm soát bảo mật và hệ thống bị xâm nhập là những mối đe dọa chính.

Đặc biệt, một số lỗ hổng có thể bị khai thác bởi kẻ tấn công đã xác thực hoặc thậm chí chưa xác thực. Điều này nhấn mạnh sự cấp thiết của việc áp dụng các **bản vá bảo mật** được cung cấp.

Các Lỗ Hổng Thực Thi Mã Từ Xa (Remote Code Execution – RCE)

Các lỗ hổng nghiêm trọng nhất cho phép kẻ tấn công đã xác thực thực thi mã tùy ý trên thiết bị. Điều này thông qua các lỗi ghi dữ liệu ngoài vùng nhớ (out-of-bounds write flaws) trong giao diện dòng lệnh quản lý (management CLI) và daemon chứng chỉ.

CVE-2025-12195 và CVE-2025-12196: Cả hai lỗ hổng này đều có điểm CVSS là 8.6. Chúng cho phép người dùng có đặc quyền bỏ qua các kiểm soát bảo mật. Việc này được thực hiện thông qua việc gửi các cấu hình IPSec và lệnh ping được chế tạo đặc biệt. Lỗi ghi dữ liệu ngoài vùng nhớ có thể cho phép kẻ tấn công ghi đè dữ liệu vào các vùng nhớ không được phép, dẫn đến việc kiểm soát luồng thực thi chương trình và thực thi mã tùy ý.
CVE-2025-12026: Lỗ hổng này trong chức năng yêu cầu chứng chỉ cũng đạt điểm CVSS 8.6. Nó tạo ra các kẽ hở cho phép lạm dụng đặc quyền cấp quản trị (administrative-level privilege abuse). Kẻ tấn công có thể lợi dụng điều này để chiếm quyền điều khiển và thực hiện các hành động trái phép với quyền cao nhất trên hệ thống.

Lỗ Hổng Rò Rỉ Thông Tin và Bypass Kiểm Tra Toàn Vẹn Hệ Thống

WatchGuard cũng đã xử lý một số **lỗ hổng CVE** liên quan đến rò rỉ thông tin, đặt ra **rủi ro bảo mật** đáng kể cho dữ liệu nhạy cảm.

CVE-2025-1545: Lỗ hổng này khai thác lỗi tiêm nhiễm XPath (XPath injection) trong các giao diện web CGI. Với điểm CVSS 8.2, nó cho phép kẻ tấn công chưa xác thực trích xuất dữ liệu cấu hình nhạy cảm từ các hệ thống đã bật tính năng hotspot xác thực. Tiêm nhiễm XPath tương tự như tiêm nhiễm SQL, cho phép truy vấn và trích xuất cấu trúc dữ liệu XML nội bộ của ứng dụng.
CVE-2025-13940: Lỗ hổng này bypass các kiểm tra toàn vẹn hệ thống trong quá trình khởi động (boot-time system integrity checks). Điều này đe dọa tính toàn vẹn và khả dụng của các hệ thống Firebox. Bằng cách phá vỡ cơ chế bảo vệ, kẻ tấn công có thể sửa đổi các thành phần hệ thống trước khi chúng được khởi tạo hoàn chỉnh.

Lỗ Hổng Từ Chối Dịch Vụ (Denial-of-Service – DoS)

Tính khả dụng của các thiết bị Firebox cũng bị đe dọa bởi một **lỗ hổng CVE** nghiêm trọng khác.

CVE-2025-11838: Đây là một lỗ hổng hỏng bộ nhớ (memory corruption) trong daemon IKE. Nó có điểm CVSS 8.7 và có thể gây ra các điều kiện từ chối dịch vụ. Lỗ hổng này ảnh hưởng đến các hệ thống sử dụng cấu hình VPN IKEv2 và dynamic gateway peers. Khi bị khai thác, nó có thể dẫn đến việc dừng hoạt động hoặc khởi động lại không mong muốn của dịch vụ VPN, làm gián đoạn kết nối mạng.

Lỗ Hổng Cross-Site Scripting (XSS) và Các Rủi Ro Tích Hợp

WatchGuard cũng đã vá sáu **lỗ hổng CVE** Cross-Site Scripting (XSS) được lưu trữ. Các lỗ hổng này ảnh hưởng đến các module tích hợp công nghệ của bên thứ ba, bao gồm:

ConnectWise
Autotask
Tigerpaw
Cấu hình Gateway Wireless Controller

Mặc dù được đánh giá là mức độ nghiêm trọng trung bình riêng lẻ, những lỗ hổng này có thể cho phép chiếm quyền phiên (session hijacking) và giả mạo cấu hình (configuration tampering) nếu kẻ tấn công có được quyền quản trị. Chiếm quyền phiên cho phép kẻ tấn công tiếp quản phiên làm việc của người dùng hợp lệ, trong khi giả mạo cấu hình có thể dẫn đến thay đổi trái phép các thiết lập hệ thống.

Các Phiên Bản Đã Vá và Khuyến Nghị Cập Nhật Khẩn Cấp

Tất cả các **lỗ hổng CVE** đã được giải quyết trong các phiên bản đã vá của Fireware OS. Các phiên bản này bao gồm:

Fireware OS 2025.1.3
Fireware OS 12.11.5
Fireware OS 12.5.14

Các tổ chức đang vận hành thiết bị Firebox cần ưu tiên cập nhật ngay lập tức. Đặc biệt quan trọng đối với những hệ thống có giao diện quản lý bị lộ ra ngoài internet hoặc đang chạy các cấu hình IPSec cũ. Việc cập nhật lên các phiên bản mới nhất là bước cần thiết để tăng cường **an ninh mạng** và bảo vệ hệ thống khỏi các mối đe dọa tiềm tàng.

Tham khảo thêm thông tin chi tiết về các tư vấn bảo mật của WatchGuard tại: WatchGuard Security Advisories.