CISA cảnh báo lỗ hổng nghiêm trọng trong WatchGuard Fireware, khiến 54.000 thiết bị Firebox đối mặt với các cuộc tấn công không cần đăng nhập

Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) vào thứ Tư đã thêm một lỗ hổng bảo mật nghiêm trọng ảnh hưởng đến WatchGuard Fireware vào danh mục Known Exploited Vulnerabilities (KEV) của mình, dựa trên bằng chứng về việc bị khai thác tích cực. Lỗ hổng được đề cập là CVE-2025-9242 (điểm CVSS: 9.3), một lỗ hổng out-of-bounds write ảnh hưởng đến Fireware OS 11.10.2 cho đến và bao gồm

Lỗ hổng WatchGuard Fireware — Ảnh minh họa: Tường lửa (Firewall)

Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) vào thứ Tư đã thêm một lỗ hổng bảo mật nghiêm trọng ảnh hưởng đến WatchGuard Fireware vào danh mục Known Exploited Vulnerabilities (KEV) của mình, dựa trên bằng chứng về việc bị khai thác tích cực.

Lỗ hổng được đề cập là CVE-2025-9242 (điểm CVSS: 9.3), một lỗ hổng out-of-bounds write ảnh hưởng đến Fireware OS 11.10.2 cho đến và bao gồm 11.12.4_Update1, 12.0 cho đến và bao gồm 12.11.3 và 2025.1.

"WatchGuard Firebox chứa một lỗ hổng out-of-bounds write trong quy trình OS iked có thể cho phép kẻ tấn công từ xa không xác thực thực thi mã tùy ý," CISA cho biết trong một cảnh báo.

Chi tiết về lỗ hổng đã được chia sẻ bởi watchTowr Labs vào tháng trước, trong đó công ty an ninh mạng này cho biết vấn đề bắt nguồn từ việc thiếu kiểm tra độ dài trên một bộ đệm nhận dạng được sử dụng trong quá trình IKE handshake.

"Máy chủ có cố gắng xác thực chứng chỉ, nhưng quá trình xác thực đó diễn ra sau khi mã dễ bị tấn công chạy, cho phép đường dẫn mã dễ bị tấn công của chúng tôi có thể truy cập được trước khi xác thực," nhà nghiên cứu bảo mật McCaulay Hudson lưu ý.

Hiện tại không có thông tin chi tiết về cách thức lỗ hổng bảo mật này đang bị khai thác và quy mô của những nỗ lực đó. Theo dữ liệu từ Shadowserver Foundation, hơn 54.300 phiên bản Firebox vẫn dễ bị tấn công bởi lỗi nghiêm trọng này tính đến ngày 12 tháng 11 năm 2025, giảm từ mức cao nhất là 75.955 vào ngày 19 tháng 10.

Khoảng 18.500 trong số các thiết bị này nằm ở Hoa Kỳ, các bản quét cho thấy. Ý (5.400), Vương quốc Anh (4.000), Đức (3.600) và Canada (3.000) nằm trong top 5. Các cơ quan Federal Civilian Executive Branch (FCEB) được khuyến nghị áp dụng các bản vá của WatchGuard trước ngày 3 tháng 12 năm 2025.

Sự phát triển này diễn ra khi CISA cũng đã thêm CVE-2025-62215 (điểm CVSS: 7.0), một lỗ hổng mới được công bố trong Windows kernel, và CVE-2025-12480 (điểm CVSS: 9.1), một lỗ hổng kiểm soát truy cập không đúng cách trong Gladinet Triofox, vào danh mục KEV. Nhóm Mandiant Threat Defense của Google đã quy kết việc khai thác CVE-2025-12480 cho một tác nhân đe dọa mà họ theo dõi là UNC6485.