Cơ quan An ninh Cơ sở hạ tầng và An ninh mạng (CISA) đã bổ sung một lỗ hổng CVE nghiêm trọng ảnh hưởng đến tường lửa WatchGuard Firebox vào danh mục Các Lỗ hổng Đã Bị Khai thác (KEV) của mình, kèm theo cảnh báo về việc khai thác tích cực trên diện rộng.

Phân Tích Kỹ Thuật Lỗ Hổng CVE-2025-9242

Chi Tiết Lỗ Hổng

Lỗ hổng, được theo dõi với mã CVE-2025-9242, gây ra rủi ro nghiêm trọng cho các tổ chức sử dụng thiết bị này cho mục đích bảo mật mạng. Chi tiết về lỗ hổng có thể tham khảo tại NVD.

Các tường lửa WatchGuard Firebox chứa một lỗ hổng ghi ngoài giới hạn (out-of-bounds write vulnerability) trong tiến trình iked của hệ điều hành. Lỗ hổng này cho phép kẻ tấn công từ xa, không cần xác thực, thực thi mã tùy ý.

Được phân loại dưới CWE-787 (Out-of-bounds Write), lỗ hổng này đại diện cho một điểm yếu bảo mật nghiêm trọng có thể bị khai thác mà không yêu cầu xác thực hoặc tương tác của người dùng.

Tác Động Nghiêm Trọng của Lỗ Hổng

Điều kiện ghi ngoài giới hạn cho phép kẻ tấn công ghi dữ liệu vượt quá ranh giới bộ nhớ được cấp phát. Điều này có thể làm hỏng các tiến trình quan trọng và cấp cho kẻ tấn công toàn quyền kiểm soát tường lửa bị ảnh hưởng.

Với vị trí chiến lược của tường lửa trong kiến trúc mạng, lỗ hổng này có thể cho phép kẻ tấn công thâm nhập sâu hơn vào mạng nội bộ của tổ chức, truy cập dữ liệu nhạy cảm, hoặc phá vỡ các hoạt động quan trọng.

Cảnh Báo Từ CISA và Thời Hạn Khẩn Cấp

Lỗ Hổng Trong Danh Mục KEV

CISA đã thêm lỗ hổng CVE-2025-9242 này vào danh mục KEV của mình vào ngày 12 tháng 11 năm 2025. Việc này khẳng định sự khai thác tích cực bởi các tác nhân đe dọa. Danh mục KEV của CISA có thể được truy cập tại đây.

Yêu Cầu Khắc Phục Cấp Bách

Cơ quan này đã đặt ra thời hạn là ngày 3 tháng 12 năm 2025 — chỉ ba tuần sau cảnh báo ban đầu — để các tổ chức khắc phục lỗ hổng. Thời gian gấp rút này phản ánh mức độ nghiêm trọng của mối đe dọa và tình trạng khai thác đang diễn ra.

Chiến Lược Giảm Thiểu và Bản Vá Bảo Mật

Hướng Dẫn Khắc Phục Trực Tiếp

CISA đã cung cấp hướng dẫn rõ ràng cho các tổ chức bị ảnh hưởng. Khuyến nghị chính là áp dụng các biện pháp giảm thiểu theo hướng dẫn của nhà cung cấp WatchGuard ngay lập tức.

Các tổ chức nên ưu tiên vá các thiết bị Firebox ngay khi các bản cập nhật có sẵn. Việc triển khai bản vá bảo mật kịp thời là tối quan trọng.

Yêu Cầu Đặc Biệt Cho Dịch Vụ Đám Mây

Đối với các dịch vụ dựa trên đám mây sử dụng thiết bị WatchGuard Firebox, các tổ chức phải tuân thủ các yêu cầu được nêu trong BOD 22-01. Văn bản này bắt buộc các thực hành an ninh mạng cụ thể đối với các hệ thống thông tin liên bang.

Trong trường hợp không thể triển khai các bản vá hoặc biện pháp khắc phục tạm thời, CISA khuyến nghị ngừng sử dụng các sản phẩm bị ảnh hưởng cho đến khi có các biện pháp giảm thiểu phù hợp.

Mối Đe Dọa Hiện Tại và Biện Pháp Phòng Ngừa

Xu Hướng Khai Thác Hạ Tầng Mạng

Việc khai thác tích cực lỗ hổng này nhấn mạnh một xu hướng đáng lo ngại: các lỗ hổng remote code execution trong hạ tầng mạng quan trọng vẫn là mục tiêu hấp dẫn đối với các tác nhân đe dọa.

Mặc dù chưa có chiến dịch ransomware nào được xác nhận sử dụng lỗ hổng cụ thể này, các tổ chức không nên cho rằng hệ thống của họ an toàn. Các tác nhân đe dọa tinh vi thường giữ bí mật các kỹ thuật khai thác để tối đa hóa lợi thế của họ trước khi công khai.

Hành Động Khuyến Nghị

Các tổ chức đang vận hành tường lửa WatchGuard Firebox nên thực hiện ngay các hành động sau:

• Xác định tất cả các thiết bị bị ảnh hưởng trong mạng của họ.
• Kiểm tra các trang tư vấn của WatchGuard để tìm các bản vá và biện pháp giảm thiểu tạm thời có sẵn.
• Xây dựng lịch trình vá lỗi nhanh chóng để đáp ứng thời hạn 3 tháng 12 của CISA.
• Quản trị viên mạng cũng nên xem xét nhật ký tường lửa để tìm hoạt động đáng ngờ và triển khai giám sát bổ sung để phát hiện các dấu hiệu xâm nhập.

Với tính chất quan trọng của tường lửa trong phòng thủ mạng, ưu tiên khắc phục lỗ hổng CVE-2025-9242 là điều cần thiết để ngăn chặn các vi phạm tiềm ẩn và duy trì tư thế bảo mật của tổ chức. Mối đe dọa khai thác tích cực kết hợp với cảnh báo của CISA khiến hành động tức thì là không thể thương lượng đối với các tổ chức quan tâm đến bảo mật.