Lỗ hổng WatchGuard Firebox: Cảnh báo khẩn cấp Zero-day nguy hiểm

Một bản cập nhật bảo mật khẩn cấp đã được phát hành để khắc phục một lỗ hổng zero-day nghiêm trọng trong các thiết bị tường lửa WatchGuard Firebox. Các cảnh báo đã được đưa ra về việc tin tặc đang tích cực khai thác lỗ hổng này trên thực tế để giành quyền kiểm soát các thiết bị bị ảnh hưởng.

Phân tích Lỗ hổng Zero-Day CVE-2025-14733

Lỗ hổng này, được theo dõi với mã định danh CVE-2025-14733, mang điểm số nghiêm trọng 9.3 trên 10 theo hệ thống đánh giá CVSS (Common Vulnerability Scoring System). Đây là một điểm số cực kỳ cao, cho thấy mức độ rủi ro nghiêm trọng và khả năng bị khai thác dễ dàng với tác động lớn.

Lỗ hổng cho phép một kẻ tấn công từ xa thực thi mã độc trên tường lửa mà không yêu cầu bất kỳ tên người dùng hoặc mật khẩu nào. Khả năng thực thi mã từ xa không cần xác thực (Remote Code Execution – RCE without authentication) trên một thiết bị bảo mật biên như tường lửa là một kịch bản tấn công cực kỳ nguy hiểm.

Bản chất Kỹ thuật của Lỗ hổng

Vấn đề được mô tả là một lỗ hổng loại “Out-of-bounds Write”. Lỗ hổng này nằm trong tiến trình ike, một thành phần quan trọng chịu trách nhiệm xử lý các kết nối VPN trên thiết bị. Lỗi Out-of-bounds Write xảy ra khi một chương trình cố gắng ghi dữ liệu vào một vị trí bộ nhớ nằm ngoài phạm vi được cấp phát. Điều này có thể dẫn đến nhiều hậu quả nghiêm trọng, bao gồm hỏng dữ liệu, crash hệ thống hoặc, trong trường hợp này, thực thi mã tùy ý.

Cụ thể, lỗ hổng này ảnh hưởng đến tính năng Mobile User VPN và Branch Office VPN khi sử dụng giao thức IKEv2. Vấn đề phát sinh khi hệ thống cố gắng xử lý một yêu cầu kết nối VPN. Nếu kẻ tấn công gửi một yêu cầu được chế tạo đặc biệt, họ có thể làm hỏng bộ nhớ của hệ thống và chiếm quyền kiểm soát tường lửa.

Việc một tiến trình cốt lõi như ike, quản lý các kết nối VPN nhạy cảm, bị ảnh hưởng bởi lỗi Out-of-bounds Write cho thấy tính chất nguy hiểm của lỗ hổng zero-day này. Khả năng thao túng bộ nhớ trực tiếp có thể cho phép kẻ tấn công chèn và thực thi mã độc của chúng, biến thiết bị tường lửa thành một điểm truy cập vào mạng nội bộ.

Tác động và Rủi ro của CVE Nghiêm trọng

WatchGuard đã nhấn mạnh rằng ngay cả sau khi xóa một cấu hình VPN bị lỗi, thiết bị vẫn có thể gặp rủi ro nếu một Branch Office VPN với cổng tĩnh (static gateway) vẫn đang hoạt động. Điều này cho thấy tính dai dẳng của nguy cơ, yêu cầu quản trị viên phải kiểm tra kỹ lưỡng hơn nữa để đảm bảo loại bỏ hoàn toàn khả năng khai thác của CVE nghiêm trọng này.

Tác động của việc khai thác thành công lỗ hổng này là vô cùng lớn. Kẻ tấn công có thể:

• Kiểm soát hoàn toàn thiết bị WatchGuard Firebox.
• Truy cập vào mạng nội bộ được bảo vệ bởi tường lửa.
• Đánh cắp dữ liệu nhạy cảm hoặc cấu hình từ thiết bị.
• Thiết lập điểm đặt chân vĩnh viễn trong mạng.
• Sử dụng tường lửa như một bàn đạp cho các cuộc tấn công tiếp theo.

Tất cả những yếu tố này làm cho CVE-2025-14733 trở thành một mối đe dọa cấp bách đối với bất kỳ tổ chức nào sử dụng WatchGuard Firebox và chưa thực hiện các biện pháp khắc phục.

Chỉ số Đe dọa (IoCs) và Hoạt động Khai thác

WatchGuard đã xác nhận rằng họ đã “quan sát các tác nhân đe dọa đang tích cực cố gắng khai thác lỗ hổng này”. Đây là một dấu hiệu rõ ràng cho thấy đây không chỉ là một lỗ hổng zero-day về mặt lý thuyết mà đã và đang bị lợi dụng trong các cuộc tấn công mạng thực tế.

Để hỗ trợ các quản trị viên bảo vệ mạng của họ, WatchGuard đã phát hành các chỉ số xâm nhập (IoCs – Indicators of Compromise) cụ thể. Mặc dù các địa chỉ IP cụ thể không được cung cấp trong thông tin ban đầu, quản trị viên được khuyến nghị kiểm tra nhật ký (logs) của họ để tìm kiếm bất kỳ hoạt động đáng ngờ nào liên quan đến các địa chỉ IP bị nghi ngờ hoặc các mẫu lưu lượng truy cập bất thường trên các cổng VPN.

Để có được danh sách đầy đủ và cập nhật nhất của các IoCs, quản trị viên nên tham khảo trực tiếp thông báo bảo mật từ WatchGuard: WGSA-2025-00027. Việc theo dõi sát sao các IoCs này là cực kỳ quan trọng để phát hiện sớm các dấu hiệu của một cuộc xâm nhập hoặc cố gắng khai thác lỗ hổng zero-day này.

Giải pháp và Khuyến nghị Bảo mật

WatchGuard đã nhanh chóng phát hành các bản vá bảo mật phần mềm để khắc phục triệt để lỗ hổng này. Các quản trị viên được yêu cầu nâng cấp lên các phiên bản sau đây ngay lập tức:

• WatchGuard Fireware v12.9.2.1
• WatchGuard Fireware v12.10.2.1
• WatchGuard Fireware v12.10.2.1 (and higher)
• WatchGuard Fireware v12.11.1
• WatchGuard Fireware v12.11.1 (and higher)

Đây là những bản cập nhật quan trọng và việc trì hoãn áp dụng chúng có thể khiến hệ thống tiếp tục đối mặt với rủi ro bị khai thác bởi lỗ hổng zero-day đã biết này.

Các Bước Phục hồi và Củng cố Sau Khi Vá

Nếu có bằng chứng cho thấy thiết bị đã bị nhắm mục tiêu hoặc khai thác trước khi áp dụng bản vá bảo mật, việc cài đặt bản vá thôi là chưa đủ. WatchGuard khuyến nghị thực hiện các bước bổ sung để giảm thiểu rủi ro sau khi đã bị xâm nhập:

• Xoay vòng tất cả các bí mật chia sẻ: Điều này bao gồm các mật khẩu, khóa API, khóa VPN và các khóa mã hóa khác được lưu trữ trên thiết bị. Kẻ tấn công có thể đã đánh cắp chúng trong quá trình xâm nhập. Việc xoay vòng bí mật là một bước quan trọng để vô hiệu hóa quyền truy cập tiềm tàng của kẻ tấn công ngay cả sau khi lỗ hổng đã được vá.
• Kiểm tra nhật ký hệ thống: Đánh giá kỹ lưỡng nhật ký của tường lửa và các hệ thống liên quan để tìm kiếm bất kỳ hoạt động bất thường hoặc không được ủy quyền nào trong khoảng thời gian trước khi vá lỗi. Điều này có thể giúp xác định phạm vi của cuộc xâm nhập.
• Thực hiện đánh giá bảo mật toàn diện: Sau một sự cố khai thác zero-day, việc đánh giá toàn diện hệ thống và mạng là cần thiết để đảm bảo không có cửa hậu (backdoor) hoặc phần mềm độc hại nào khác đã được cài đặt.

Việc áp dụng các bản cập nhật và tuân thủ các khuyến nghị của WatchGuard là bước thiết yếu để bảo vệ hệ thống khỏi lỗ hổng zero-day CVE-2025-14733 và ngăn chặn các cuộc tấn công mạng tiếp theo.