Cộng đồng an ninh mạng đang đặc biệt chú ý đến một lỗ hổng CVE-2025-9242 nghiêm trọng ảnh hưởng đến các thiết bị WatchGuard, với báo cáo hàng ngày về số lượng thiết bị dễ bị tổn thương tăng cao một cách đáng báo động.

Dữ liệu mới nhất, được công bố vào ngày 18 tháng 10 năm 2025, cho thấy các nhà nghiên cứu bảo mật tại Shadowserver đã phát hiện hơn 71.000 thiết bị WatchGuard trên toàn cầu có thể bị khai thác.

Những thiết bị này tiềm ẩn nguy cơ lớn cho các cuộc tấn công remote code execution, cho phép kẻ tấn công kiểm soát từ xa các hệ thống bị ảnh hưởng.

Tổng quan về Lỗ hổng WatchGuard CVE-2025-9242 và Ảnh hưởng

Lỗ hổng này được theo dõi với mã định danh quốc tế CVE-2025-9242.

Nó ảnh hưởng cụ thể đến hệ điều hành WatchGuard Fireware OS và bắt nguồn từ một lỗi ghi ngoài giới hạn (Out-of-Bounds Write) trong thành phần IKEv2 ISAKMP.

Chi tiết kỹ thuật về CVE-2025-9242

Lỗi ghi ngoài giới hạn là một dạng lỗi tràn bộ đệm (buffer overflow) hoặc lỗi bộ nhớ.

Trong đó, một chương trình cố gắng ghi dữ liệu ra bên ngoài vùng bộ nhớ được cấp phát cho nó.

Điều này có thể dẫn đến việc ghi đè lên các vùng dữ liệu hoặc mã khác trong bộ nhớ, gây ra hành vi không mong muốn hoặc sự cố hệ thống.

Trong trường hợp của lỗ hổng CVE-2025-9242, lỗi này cho phép kẻ tấn công từ xa thực thi mã tùy ý.

Kẻ tấn công chỉ cần gửi các gói mạng được chế tạo đặc biệt đến thiết bị mục tiêu chưa được vá lỗi.

Khi mã độc được thực thi, kẻ tấn công có thể chiếm quyền điều khiển hệ thống hoàn toàn.

Điều này đồng nghĩa với việc họ có thể thực hiện mọi hành động độc hại, từ cài đặt mã độc, thay đổi cấu hình hệ thống, cho đến đánh cắp dữ liệu nhạy cảm.

Thành phần IKEv2 ISAKMP là một phần quan trọng trong việc thiết lập và quản lý các kết nối VPN an toàn.

Việc một lỗ hổng nghiêm trọng tồn tại ở đây làm tăng đáng kể nguy cơ đối với an ninh mạng của toàn bộ hệ thống.

Phạm vi phơi nhiễm và Hoạt động Theo dõi từ Shadowserver

Nỗ lực quét internet quy mô lớn của Shadowserver đã tiết lộ rằng những điểm yếu này rất phổ biến và lan rộng.

Hiện có hơn 71.000 thiết bị WatchGuard Fireware OS bị phơi nhiễm trên nhiều lĩnh vực và khu vực địa lý khác nhau do lỗ hổng CVE-2025-9242.

Thiết bị bị ảnh hưởng và Dữ liệu theo dõi liên tục

Bề mặt dễ bị tấn công chủ yếu bao gồm các thiết bị tường lửa (firewall appliances) và cổng VPN (VPN gateways).

Những thiết bị này đóng vai trò then chốt trong hạ tầng mạng, thường được triển khai trong các tổ chức để bảo mật quyền truy cập từ xa và bảo vệ mạng nội bộ.

Quy mô phát hiện không chỉ cho thấy sự phổ biến rộng rãi của các sản phẩm WatchGuard mà còn báo hiệu một bề mặt tấn công đáng kể.

Điều này tạo ra cơ hội lớn cho tội phạm mạng khai thác thông qua lỗ hổng CVE-2025-9242.

Shadowserver đã bắt đầu theo dõi và chia sẻ dữ liệu trực tiếp hàng ngày về các địa chỉ IP bị ảnh hưởng liên quan đến lỗ hổng CVE-2025-9242.

Báo cáo của họ sử dụng tính năng quét chủ động để xác định các hệ thống WatchGuard Fireware OS dễ bị tổn thương và hiển thị công khai trên Internet.

Mỗi ngày, các tổ chức và quản trị viên mạng nhận được thông tin tình báo mới.

Dữ liệu này cung cấp thông tin chi tiết về tài sản bị phơi nhiễm, cho phép họ thực hiện hành động khắc phục ngay lập tức.

Số liệu hàng ngày đóng vai trò vừa là cảnh báo cấp thiết vừa là lời kêu gọi hành động quyết liệt.

Trong báo cáo gần đây nhất, hơn 71.000 trường hợp dễ bị tấn công đã được xác nhận chỉ trong một ngày (ngày 18 tháng 10).

Những con số này cho thấy sự thiếu sót dai dẳng trong việc cập nhật bản vá và sự chậm trễ chung trong quá trình khắc phục của nhiều tổ chức.

Điều này xảy ra bất chấp các khuyến cáo công khai rõ ràng về mức độ nghiêm trọng của lỗ hổng CVE-2025-9242.

Tác động và Rủi ro bảo mật tiềm ẩn

Các thiết bị WatchGuard bị phơi nhiễm có nguy cơ cực kỳ cao bị các cuộc tấn công từ xa do lỗ hổng CVE-2025-9242.

Những cuộc tấn công này bao gồm việc chiếm quyền điều khiển toàn bộ hệ thống, dẫn đến mất mát dữ liệu, đánh cắp thông tin nhạy cảm hoặc gây gián đoạn nghiêm trọng hoạt động kinh doanh.

Hậu quả có thể bao gồm tổn thất tài chính, thiệt hại về danh tiếng và các vấn đề pháp lý do vi phạm dữ liệu.

Khuyến nghị và Biện pháp khắc phục cấp thiết

Các chuyên gia an ninh mạng khuyến nghị mạnh mẽ các nhóm IT cập nhật tất cả các hệ thống bị ảnh hưởng đang chạy WatchGuard Fireware OS ngay lập tức.

Việc áp dụng các bản vá bảo mật mới nhất là bước đầu tiên và quan trọng nhất để giảm thiểu rủi ro.

Ngoài ra, cần thực hiện kiểm tra kỹ lưỡng để xác minh rằng chưa có quyền truy cập trái phép nào xảy ra trước khi áp dụng các bản vá.

Sự cố này làm nổi bật nhu cầu liên tục về quản lý lỗ hổng (vulnerability management) hiệu quả.

Việc giám sát bảo mật chủ động và giá trị của thông tin tình báo mối đe dọa được chia sẻ bởi các nền tảng đáng tin cậy như Shadowserver là tối quan trọng.

Can thiệp nhanh chóng và cảnh giác liên tục sẽ rất quan trọng để bảo vệ các vành đai doanh nghiệp.

Điều này giúp chống lại những kẻ tấn công đang tích cực khai thác các điểm yếu liên quan đến lỗ hổng CVE-2025-9242.

Để tìm hiểu thêm chi tiết về lỗ hổng CVE-2025-9242, bạn có thể tham khảo tại NIST National Vulnerability Database.