Một lỗ hổng CVE nghiêm trọng đã được phát hiện trong giao diện tường lửa dựa trên web (firewall.cgi) của IPFire 2.29. Lỗ hổng này, thuộc loại cross-site scripting (XSS) được lưu trữ, cho phép quản trị viên đã xác thực chèn mã JavaScript độc hại liên tục, dẫn đến khả năng chiếm đoạt phiên làm việc, thực hiện các hành động trái phép hoặc di chuyển sâu hơn trong mạng nội bộ.

Phân tích Chi tiết Lỗ hổng CVE-2025-50975

Lỗ hổng này được định danh là CVE-2025-50975 và xếp vào loại XSS được lưu trữ (Stored XSS). Một lỗ hổng CVE thuộc dạng này đặc biệt nguy hiểm vì mã độc sau khi chèn sẽ tồn tại lâu dài trên máy chủ. Nó đặt ra một rủi ro đáng kể trong các môi trường có nhiều quản trị viên cùng chia sẻ quyền quản lý tường lửa IPFire, tạo điều kiện cho một tấn công mạng tinh vi nhắm vào người dùng có đặc quyền.

Bản chất của lỗ hổng nằm ở việc xử lý không đúng cách và thiếu làm sạch đầu vào (improper sanitization) cho một số tham số quy tắc trong trình chỉnh sửa quy tắc tường lửa của IPFire.

Các Tham số Hệ thống Dễ Bị Tấn công bởi Lỗ hổng CVE này

Các trường sau đây không trải qua quá trình xác thực đầu vào đầy đủ, cho phép kẻ tấn công chèn các chuỗi độc hại:

• PROT: Giao thức mạng.
• SRC_PORT: Cổng nguồn.
• TGT_PORT: Cổng đích.
• dnatport: Cổng đích cho DNAT.
• key: Khóa nhận dạng.
• ruleremark: Phần ghi chú hoặc mô tả quy tắc.
• src_addr: Địa chỉ IP nguồn.
• std_net_tgt: Mục tiêu mạng tiêu chuẩn.
• tgt_addr: Địa chỉ IP đích.

Việc thiếu xác thực trên các tham số này cho phép mã JavaScript độc hại được nhúng trực tiếp vào cấu hình tường lửa.

Cơ chế Khai thác và Tác động Nghiêm trọng

Kẻ tấn công, chỉ với thông tin đăng nhập quản trị viên hợp lệ và quyền truy cập GUI, có thể dễ dàng nhúng các payload JavaScript độc hại vào bất kỳ tham số nào kể trên trong quá trình tạo hoặc chỉnh sửa quy tắc tường lửa. Một khi được lưu trữ trên máy chủ, payload này sẽ tự động thực thi bất cứ khi nào bất kỳ quản trị viên nào khác truy cập hoặc xem trang quy tắc tường lửa.

Cơ chế này tạo ra một cửa hậu liên tục, cho phép kẻ tấn công thực hiện các hành động sau:

• Chiếm đoạt Phiên quản trị (Session Hijacking): Kẻ tấn công có thể lấy cắp cookie phiên của các quản trị viên khác, từ đó chiếm đoạt quyền điều khiển phiên làm việc mà không cần biết mật khẩu. Điều này có thể dẫn đến việc thực hiện các cấu hình thay đổi độc hại trên tường lửa.
• Thực hiện Hành động Trái phép: Mã JavaScript có thể tự động gửi yêu cầu HTTP đến các chức năng quản trị, thực hiện các hành động như thay đổi quy tắc tường lửa, thêm người dùng mới, hoặc thay đổi cấu hình hệ thống mà nạn nhân không hề hay biết.
• Di chuyển trong Mạng nội bộ (Internal Network Pivoting): Với quyền điều khiển tường lửa, kẻ tấn công có thể thay đổi các quy tắc định tuyến hoặc chuyển tiếp, mở các cổng không mong muốn hoặc tạo đường hầm để xâm nhập sâu hơn vào các hệ thống bên trong mạng nội bộ.

Mức độ phức tạp của cuộc tấn công mạng này được phân loại là thấp. Điều này làm tăng nguy cơ, vì việc khai thác lỗ hổng CVE này không đòi hỏi các kỹ năng chuyên sâu hay các thủ đoạn social engineering phức tạp. Tác động của cuộc tấn công bao gồm vi phạm nghiêm trọng cả tính bảo mật (confidentiality) lẫn tính toàn vẹn (integrity) của hệ thống IPFire và toàn bộ mạng được bảo vệ.

Minh họa Khai thác và Bằng chứng Khái niệm Lỗ hổng CVE

Một bản trình diễn chi tiết về tấn công XSS được lưu trữ này đã được công bố, cung cấp bằng chứng khái niệm rõ ràng. Bạn có thể xem minh họa quá trình khai thác và tác động tức thời của nó qua ảnh GIF trên GitHub tại liên kết: IPFire-2.29-Stored-XSS-via-Firewall.md.

Quá trình chèn payload độc hại diễn ra trong bước tạo hoặc chỉnh sửa quy tắc tường lửa. Mã JavaScript độc hại sẽ được thực thi ngay lập tức khi trang quy tắc được tải lại dưới phiên làm việc của một quản trị viên hợp lệ khác, cho thấy hiệu quả của lỗ hổng CVE này.

Biện pháp Giảm thiểu và Khuyến nghị Bản vá Bảo mật

Để đối phó với lỗ hổng CVE-2025-50975, các quản trị viên IPFire cần thực hiện các bước giảm thiểu rủi ro sau đây một cách khẩn cấp:

• Cập nhật Bản vá Bảo mật: Kiểm tra và áp dụng ngay lập tức các bản vá bảo mật do IPFire cung cấp. Ưu tiên cập nhật lên phiên bản 2.29 đã được vá lỗi hoặc phiên bản mới hơn ngay khi chúng có sẵn để khắc phục hoàn toàn lỗ hổng CVE này.
• Nâng cao Nhận thức về An ninh: Đảm bảo rằng tất cả các quản trị viên và người dùng có quyền truy cập GUI đều nhận thức được nguy cơ tiềm ẩn từ các lỗ hổng XSS được lưu trữ và các hình thức tấn công mạng tương tự.
• Thực thi Nguyên tắc Đặc quyền Tối thiểu (Least Privilege): Giới hạn quyền truy cập GUI chỉ cho những quản trị viên thực sự cần thiết. Mỗi tài khoản nên có quyền hạn tối thiểu để thực hiện công việc của mình.
• Giám sát Hoạt động Hệ thống: Triển khai giám sát chặt chẽ các log hệ thống, đặc biệt là các log liên quan đến cấu hình tường lửa và các hành động của quản trị viên, để phát hiện sớm các hoạt động bất thường hoặc dấu hiệu chèn mã độc.
• Sử dụng Tường lửa Ứng dụng Web (WAF): Xem xét việc triển khai WAF ở phía trước IPFire. Mặc dù WAF không trực tiếp vá lỗ hổng bên trong IPFire, nó có thể cung cấp thêm một lớp bảo vệ bằng cách lọc và chặn các payload XSS độc hại trước khi chúng đến được giao diện web.

Các tổ chức đang tin cậy vào IPFire để bảo vệ chu vi mạng của mình cần coi cảnh báo CVE này là một ưu tiên hàng đầu. Việc đảm bảo triển khai bản vá bảo mật nhanh chóng và thắt chặt các biện pháp kiểm soát quản trị sẽ là yếu tố then chốt để bảo vệ cơ sở hạ tầng mạng quan trọng khỏi các mối đe dọa XSS dai dẳng và các cuộc tấn công mạng có thể phát sinh từ chúng.