Một lỗ hổng WatchGuard Firebox nghiêm trọng đã được phát hiện trong các thiết bị WatchGuard Firebox, cho phép kẻ tấn công từ xa thực thi mã tùy ý mà không cần xác thực. Lỗ hổng này, định danh là CVE-2025-9242, ảnh hưởng đến dịch vụ VPN IKEv2 và được gán điểm CVSS 4.0 là 9.3, xếp loại là một mối đe dọa cực kỳ nghiêm trọng đối với các tổ chức sử dụng thiết bị bảo mật này. Mã định danh CVE-2025-9242 cung cấp một cách tiêu chuẩn để theo dõi và quản lý các điểm yếu bảo mật trên toàn cầu.

Phân tích Kỹ thuật về Lỗ hổng WatchGuard Firebox CVE-2025-9242

Bản chất và Mức độ Nghiêm trọng của CVE nghiêm trọng này

Lỗ hổng xuất phát từ một vấn đề ghi ngoài giới hạn (out-of-bounds write) trong tiến trình iked của hệ điều hành WatchGuard Fireware OS. Một lỗi ghi ngoài giới hạn xảy ra khi chương trình cố gắng ghi dữ liệu vào một vị trí bộ nhớ nằm ngoài phạm vi được cấp phát. Điều này có thể dẫn đến việc ghi đè lên các vùng bộ nhớ quan trọng khác.

Cụ thể hơn, đây là một lỗi tràn bộ đệm dựa trên stack (stack-based buffer overflow), một loại điểm yếu bảo mật phổ biến hơn vào cuối những năm 1990 nhưng vẫn đặc biệt nguy hiểm khi được tìm thấy trong các hệ thống doanh nghiệp hiện đại. Việc tràn bộ đệm trên stack cho phép kẻ tấn công kiểm soát trực tiếp luồng thực thi của chương trình.

Vấn đề nằm ở cách hệ thống xử lý dữ liệu định danh trong quá trình xác thực IKEv2. Giao thức IKEv2 (Internet Key Exchange v2) là thành phần cốt lõi để thiết lập và quản lý các phiên VPN an toàn. Khi một máy khách kết nối với dịch vụ VPN, hệ thống sao chép thông tin định danh vào một vùng đệm có kích thước cố định trên stack. Tuy nhiên, các phiên bản bị ảnh hưởng không kiểm tra đúng chiều dài của dữ liệu này trước khi sao chép.

Điều này cho phép kẻ tấn công làm tràn bộ đệm và ghi đè lên các vùng bộ nhớ quan trọng, bao gồm các giá trị thanh ghi đã lưu và địa chỉ trả về. Điểm CVSS 9.3 phản ánh mức độ nghiêm trọng cao nhất, chỉ ra rằng lỗ hổng WatchGuard Firebox này có thể bị khai thác dễ dàng và gây ra tác động nghiêm trọng. Điểm đặc biệt đáng lo ngại của lỗ hổng này là khả năng khai thác từ xa mà không cần bất kỳ hình thức xác thực nào.

Cơ chế Khai thác Lỗ hổng WatchGuard Firebox

Kẻ tấn công có thể tiếp cận đoạn mã dễ bị tổn thương bằng cách gửi các gói IKEv2 được chế tạo đặc biệt đến dịch vụ VPN. Dịch vụ VPN này thường chạy trên cổng UDP 500 và, trong nhiều trường hợp, được cấu hình để phơi bày ra Internet để cho phép truy cập từ xa cho người dùng di động hoặc kết nối chi nhánh.

Các nhà nghiên cứu bảo mật từ watchTowr Labs đã chứng minh việc khai thác thành công bằng cách gửi dữ liệu định danh quá lớn. Dữ liệu này làm hỏng stack và chiếm quyền điều khiển luồng thực thi chương trình, mở đường cho việc thực thi mã độc.

Quá trình khai thác diễn ra theo hai giai đoạn cụ thể:

• Giai đoạn 1: Khởi tạo đàm phán
  Kẻ tấn công gửi một gói IKE_SA_INIT. Gói này được sử dụng để đàm phán các tham số mã hóa ban đầu, thiết lập một kênh liên lạc an toàn cơ bản mà không cần xác thực đầy đủ.
• Giai đoạn 2: Gửi payload độc hại
  Tiếp theo, kẻ tấn công gửi một gói IKE_SA_AUTH chứa payload độc hại. Payload này được lồng ghép vào dữ liệu định danh vượt quá kích thước cho phép của bộ đệm.

Bằng cách chế tạo cẩn thận vùng đệm định danh vượt quá 520 byte, kẻ tấn công có thể kiểm soát các thanh ghi CPU quan trọng và chuyển hướng thực thi chương trình đến mã của riêng họ. Các nhà nghiên cứu đã phát triển một chuỗi khai thác hoàn chỉnh sử dụng kỹ thuật lập trình hướng trả về (Return-Oriented Programming – ROP) để vượt qua các biện pháp bảo vệ như ASLR (Address Space Layout Randomization) và DEP (Data Execution Prevention), từ đó đạt được remote code execution với quyền root trên thiết bị bị tấn công. Việc chiếm quyền root mang lại khả năng kiểm soát hoàn toàn hệ thống, bao gồm truy cập dữ liệu nhạy cảm, cài đặt mã độc bổ sung, hoặc sử dụng thiết bị làm bàn đạp cho các cuộc tấn công khác.

Phạm vi Ảnh hưởng và Các Phiên bản Bị Tổn thương

Lỗ hổng WatchGuard Firebox này ảnh hưởng đến nhiều mẫu WatchGuard Firebox chạy các phiên bản Fireware OS sau:

• Phiên bản 11.10.2 đến 11.12.4_Update1.
• Phiên bản 12.0 đến 12.11.3.
• Phiên bản 2025.1.

Sự cố về lỗ hổng WatchGuard Firebox này đặc biệt tác động đến các tổ chức sử dụng VPN người dùng di động với IKEv2 hoặc cấu hình VPN chi nhánh (branch office VPN) với các cổng động (dynamic gateway peers). Các cấu hình này làm tăng bề mặt tấn công do dịch vụ IKEv2 thường xuyên được tiếp xúc với mạng Internet công cộng.

Biện pháp Khắc phục và Khuyến nghị Bảo mật

Cập nhật Bản vá Bảo mật Khẩn cấp

WatchGuard đã phát hành các bản vá để khắc phục vấn đề này. Các tổ chức cần ngay lập tức nâng cấp lên một trong các phiên bản Fireware OS sau để đảm bảo an toàn cho thiết bị của mình:

• Phiên bản 2025.1.1.
• Phiên bản 12.11.4 (đối với dòng 12.x).
• Phiên bản 12.5.13 (đối với các mẫu T15 và T35).
• Phiên bản 12.3.1_Update3 (đối với các bản phát hành được chứng nhận FIPS).

Đây là bản vá bảo mật quan trọng để khắc phục lỗ hổng WatchGuard Firebox này. Việc cập nhật cần được coi là ưu tiên khẩn cấp do tính chất nghiêm trọng của lỗi và khả năng khai thác từ xa mà không cần xác thực. Việc trì hoãn cập nhật có thể khiến hệ thống gặp nguy cơ cao bị chiếm quyền kiểm soát hoàn toàn.

Để biết thêm chi tiết từ nhà cung cấp và theo dõi các cập nhật mới nhất, tham khảo Thông báo bảo mật của WatchGuard.

Giải pháp Tạm thời và Các lưu ý khác

Đối với các tổ chức không thể nâng cấp ngay lập tức, WatchGuard khuyến nghị triển khai các giải pháp tạm thời cho các đường hầm VPN chi nhánh được cấu hình với các cổng tĩnh (static gateway peers). Tuy nhiên, cần lưu ý rằng đây chỉ là biện pháp giảm thiểu rủi ro và không loại bỏ hoàn toàn lỗ hổng.

Biện pháp bảo vệ hiệu quả và triệt để nhất vẫn là áp dụng các bản vá bảo mật cho lỗ hổng WatchGuard Firebox này càng sớm càng tốt để loại bỏ hoàn toàn nguy cơ tiềm ẩn. Các bản vá này được thiết kế để khắc phục tận gốc vấn đề tràn bộ đệm.

Lỗ hổng này được ghi nhận cho nhà nghiên cứu bảo mật btaol. Phân tích kỹ thuật chi tiết cùng với các công cụ phát hiện đã được watchTowr Labs công bố để hỗ trợ các tổ chức xác định và bảo vệ các hệ thống dễ bị tổn thương. Điều này nhấn mạnh tầm quan trọng của cộng đồng nghiên cứu bảo mật trong việc phát hiện và công bố các điểm yếu nghiêm trọng.