Lỗ hổng CVE nghiêm trọng WatchGuard Firebox bị khai thác zero-day
Shadowserver Foundation đã xác định khoảng 125.000 thiết bị tường lửa WatchGuard Firebox trên toàn thế giới đang gặp rủi ro do một lỗ hổng CVE nghiêm trọng đang bị khai thác tích cực.
Phát Hiện Lỗ Hổng Nghiêm Trọng WatchGuard Firebox
Lỗ hổng này, được theo dõi dưới mã định danh CVE-2025-14733, cho phép kẻ tấn công từ xa không cần xác thực thực thi mã tùy ý trên các thiết bị chưa được vá lỗi với nỗ lực tối thiểu.
Nguyên nhân của lỗ hổng bắt nguồn từ lỗi ghi ngoài vùng nhớ (out-of-bounds write) trong quá trình trao đổi khóa IKEv2 VPN của hệ điều hành WatchGuard Fireware OS.
WatchGuard đã xác nhận rằng các tác nhân đe dọa đang tích cực cố gắng khai thác lỗ hổng này trên thực tế, biến nó thành một mối đe dọa zero-day thực sự đối với các tổ chức chưa kịp vá lỗi.
Chi Tiết Kỹ Thuật CVE-2025-14733 và Mức Độ Nghiêm Trọng
Với điểm CVSS 9.8, đây là một lỗ hổng CVE nghiêm trọng không yêu cầu tương tác của người dùng. Nó có thể bị khai thác qua mạng mà không cần xác thực.
Lỗ hổng ảnh hưởng cụ thể đến các cấu hình VPN cho người dùng di động sử dụng IKEv2 và các thiết lập VPN văn phòng chi nhánh sử dụng IKEv2 với các cổng động (dynamic gateway peers).
Sự tồn tại của lỗ hổng này trong các phiên bản Fireware OS đã được xác nhận, làm tăng mức độ rủi ro đối với các hệ thống không được cập nhật kịp thời, đặc biệt khi có các nỗ lực khai thác zero-day đang diễn ra.
Tình Huống “Cấu Hình Zombie”
Một kịch bản đặc biệt nguy hiểm được gọi là “cấu hình zombie”: ngay cả khi quản trị viên đã xóa các cài đặt VPN dễ bị tổn thương, tường lửa vẫn có thể bị xâm phạm nếu các đường hầm VPN văn phòng chi nhánh đến các cổng tĩnh (static-gateway peers) vẫn còn tồn tại.
Điều này nhấn mạnh sự phức tạp trong việc đảm bảo an toàn hoàn toàn cho hệ thống và nguy cơ tiềm ẩn từ một lỗ hổng CVE dù đã có biện pháp khắc phục bề ngoài.
Phạm Vi Phơi Nhiễm và Lịch Sử Tương Tự
Phạm vi phơi nhiễm là đáng báo động. Các cuộc quét của Shadowserver đã xác định các thiết bị dễ bị tấn công trên toàn thế giới, với mật độ tập trung ở Bắc Mỹ và Châu Âu. Điều này cho thấy quy mô của thách thức bảo mật liên quan đến lỗ hổng CVE này.
Tình hình này tương tự như một sự cố trước đó, trong đó Shadowserver đã xác định hơn 75.000 thiết bị Firebox chưa được vá lỗi dễ bị tấn công bởi CVE-2025-9242. Điều này làm nổi bật một xu hướng lặp lại trong việc quản lý bản vá bảo mật cho các thiết bị WatchGuard.
Các phát hiện này cung cấp dữ liệu quan trọng để hiểu rõ hơn về mức độ và phạm vi của các mối đe dọa từ các lỗ hổng CVE đang bị khai thác.
Chỉ Số Thỏa Hiệp (IOCs) và Phương Pháp Phát Hiện
WatchGuard đã cung cấp các chỉ số thỏa hiệp (IOCs) cụ thể, bao gồm bốn địa chỉ IP được liên kết trực tiếp với các nỗ lực khai thác đang hoạt động. Các tổ chức nên kiểm tra nhật ký tường lửa của mình để tìm kiếm các dấu hiệu này.
Danh Sách Các Địa Chỉ IP Liên Quan Đến Khai Thác:
1.1.1.1(Đây là địa chỉ ví dụ. Cần thay thế bằng các địa chỉ IP thực được cung cấp bởi WatchGuard.)2.2.2.23.3.3.34.4.4.4
Ngoài ra, các tổ chức nên kiểm tra nhật ký tường lửa để tìm kiếm các bất thường trong chuỗi chứng chỉ (certificate chain anomalies) và các tải trọng IKE_AUTH bất thường có kích thước vượt quá 2.000 byte. Phát hiện các dấu hiệu này có thể chỉ ra một cuộc tấn công đang diễn ra hoặc đã xảy ra thông qua lỗ hổng CVE.
Ví dụ về cách kiểm tra nhật ký IKE_AUTH trên thiết bị Firebox (lệnh có thể thay đổi tùy phiên bản Fireware OS):
diag vpn ike debugshow vpn ike-saPhân tích các bản ghi này một cách cẩn thận là rất quan trọng để xác định các hoạt động đáng ngờ và ngăn chặn sự xâm nhập từ các tác nhân đe dọa đang cố gắng khai thác zero-day.
Biện Pháp Khắc Phục và Hành Động Khuyến Nghị
Các tổ chức phải ưu tiên cập nhật tất cả các thiết bị Firebox ngay lập tức để khắc phục lỗ hổng CVE-2025-14733. Việc áp dụng bản vá bảo mật là bước quan trọng nhất để giảm thiểu rủi ro.
Đội ngũ bảo mật cần giám sát chặt chẽ các hoạt động VPN đáng ngờ và xem xét nhật ký kiểm toán (audit logs) để tìm kiếm các chỉ số tấn công.
Các Bước Khắc Phục Khuyến Nghị:
- Cập nhật bản vá bảo mật: Nhanh chóng áp dụng tất cả các bản cập nhật Fireware OS do WatchGuard phát hành để khắc phục lỗ hổng CVE.
- Giám sát hoạt động VPN: Tăng cường giám sát lưu lượng VPN để phát hiện các kết nối bất thường hoặc các nỗ lực khai thác zero-day.
- Xem xét nhật ký kiểm toán: Thường xuyên kiểm tra nhật ký hệ thống và nhật ký kiểm toán để tìm các dấu hiệu xâm nhập hoặc cấu hình trái phép.
- Xoay vòng thông tin xác thực: Xoay vòng tất cả các thông tin xác thực được lưu trữ cục bộ trên các thiết bị có khả năng bị xâm phạm. Đây là một biện pháp quan trọng để ngăn chặn truy cập liên tục.
- Tham khảo tài nguyên WatchGuard: Kiểm tra các thông báo bảo mật chính thức của WatchGuard để có thông tin cập nhật nhất về bản vá bảo mật và hướng dẫn.
Với việc lỗ hổng đang bị khai thác tích cực, bất kỳ sự chậm trễ nào trong việc thực hiện các biện pháp này đều làm tăng đáng kể nguy cơ bị xâm phạm. Việc chủ động áp dụng bản vá bảo mật và các biện pháp phòng ngừa khác là cực kỳ cần thiết để bảo vệ hệ thống khỏi các cuộc tấn công tinh vi.
Thông tin chi tiết về CVE-2025-14733 có thể được tìm thấy tại NIST National Vulnerability Database.
