Các nhà nghiên cứu an ninh mạng đã công bố chi tiết về một lỗ hổng bảo mật nghiêm trọng mới được vá trong WatchGuard Fireware, có thể cho phép kẻ tấn công chưa xác thực thực thi mã tùy ý.
Lỗ hổng, được theo dõi là CVE-2025-9242 (điểm CVSS: 9.3), được mô tả là một lỗ hổng ghi ngoài giới hạn (out-of-bounds write) ảnh hưởng đến Fireware OS 11.10.2 đến 11.12.4_Update1, 12.0 đến 12.11.3 và 2025.1.
"Một lỗ hổng ghi ngoài giới hạn trong tiến trình iked của WatchGuard Fireware OS có thể cho phép kẻ tấn công từ xa chưa xác thực thực thi mã tùy ý," WatchGuard cho biết trong một thông báo được phát hành vào tháng trước. "Lỗ hổng này ảnh hưởng đến cả VPN người dùng di động với IKEv2 và VPN văn phòng chi nhánh sử dụng IKEv2 khi được cấu hình với dynamic gateway peer."
Nó đã được khắc phục trong các phiên bản sau:
- 2025.1 - Đã khắc phục trong 2025.1.1
- 12.x - Đã khắc phục trong 12.11.4
- 12.3.1 (FIPS-certified release) - Đã khắc phục trong 12.3.1_Update3 (B722811)
- 12.5.x (các mẫu T15 & T35) - Đã khắc phục trong 12.5.13
- 11.x - Đã hết vòng đời (end-of-life)
Phân tích kỹ thuật lỗ hổng CVE-2025-9242
Một phân tích mới từ watchTowr Labs đã mô tả CVE-2025-9242 là "tất cả các đặc điểm mà các băng nhóm ransomware láng giềng thân thiện của bạn muốn thấy," bao gồm thực tế là nó ảnh hưởng đến một dịch vụ tiếp xúc với internet, có thể bị khai thác mà không cần xác thực và có thể thực thi mã tùy ý trên một thiết bị biên (perimeter appliance).
Lỗ hổng, theo nhà nghiên cứu bảo mật McCaulay Hudson, bắt nguồn từ hàm "ike2_ProcessPayload_CERT" có trong tệp "src/ike/iked/v2/ike2_payload_cert.c" được thiết kế để sao chép "identification" của máy khách vào một bộ đệm stack cục bộ 520 byte, sau đó xác thực chứng chỉ SSL của máy khách được cung cấp.
Vấn đề phát sinh do thiếu kiểm tra độ dài trên bộ đệm identification, do đó cho phép kẻ tấn công kích hoạt tràn bộ đệm (overflow) và đạt được thực thi mã từ xa (remote code execution) trong giai đoạn IKE_SA_AUTH phase của quá trình bắt tay được sử dụng để thiết lập một đường hầm mạng riêng ảo (VPN) giữa máy khách và dịch vụ VPN của WatchGuard thông qua giao thức quản lý khóa IKE.
"Máy chủ cố gắng xác thực chứng chỉ, nhưng quá trình xác thực đó xảy ra sau khi mã dễ bị tổn thương chạy, cho phép đường dẫn mã dễ bị tổn thương của chúng tôi có thể truy cập được trước xác thực," Hudson cho biết.
WatchTowr lưu ý rằng mặc dù WatchGuard Fireware OS thiếu một shell tương tác như "/bin/bash," nhưng kẻ tấn công có thể vũ khí hóa lỗ hổng và giành quyền kiểm soát instruction pointer register (còn gọi là RIP hoặc program counter) để cuối cùng khởi tạo một Python interactive shell qua TCP bằng cách tận dụng một system call mprotect(), qua đó bỏ qua các biện pháp giảm thiểu NX bit (còn gọi là no-execute bit).
Sau khi có shell Python từ xa, vị trí đứng đầu (foothold) có thể được leo thang thêm thông qua một quy trình nhiều bước để có được một Linux shell hoàn chỉnh:
- Thực thi trực tiếp execve trong Python để remount hệ thống tệp ở chế độ đọc/ghi.
- Tải xuống một BusyBox binary lên mục tiêu.
- Tạo liên kết tượng trưng (symlinking) /bin/sh đến BusyBox binary.
Các lỗ hổng liên quan khác
Sự phát triển này diễn ra khi watchTowr đã chứng minh rằng một lỗ hổng từ chối dịch vụ (DoS) hiện đã được vá ảnh hưởng đến Progress Telerik UI for AJAX (CVE-2025-3600, điểm CVSS: 7.5) cũng có thể cho phép thực thi mã từ xa (remote code execution) tùy thuộc vào môi trường mục tiêu. Lỗ hổng đã được khắc phục bởi Progress Software vào ngày 30 tháng 4 năm 2025.
"Tùy thuộc vào codebase mục tiêu – ví dụ: sự hiện diện của các constructor không đối số cụ thể, finalizer hoặc insecure assembly resolvers – tác động có thể leo thang thành thực thi mã từ xa," nhà nghiên cứu bảo mật Piotr Bazydlo cho biết.
Đầu tháng này, Sina Kheirkhah của watchTowr cũng đã làm rõ về một lỗ hổng chèn lệnh trước xác thực (pre-authenticated command injection) nghiêm trọng trong Dell UnityVSA (CVE-2025-36604, điểm CVSS: 9.8/7.3) có thể dẫn đến thực thi lệnh từ xa. Dell đã khắc phục lỗ hổng vào tháng 7 năm 2025 sau khi công bố có trách nhiệm vào ngày 28 tháng 3.
