WatchGuard đã phát hành các bản vá để khắc phục lỗ hổng bảo mật nghiêm trọng trong Fireware OS mà họ cho biết đã bị khai thác trong các cuộc tấn công thực tế.
Được theo dõi là CVE-2025-14733 (điểm CVSS: 9.3), lỗ hổng này được mô tả là một trường hợp ghi ngoài giới hạn (out-of-bounds write) ảnh hưởng đến tiến trình iked, có thể cho phép kẻ tấn công từ xa không được xác thực thực thi mã tùy ý.
"Lỗ hổng này ảnh hưởng đến cả VPN người dùng di động với IKEv2 và VPN văn phòng chi nhánh (branch office VPN) sử dụng IKEv2 khi được cấu hình với một dynamic gateway peer," công ty cho biết trong một bản tư vấn hôm thứ Năm.
"Nếu Firebox đã từng được cấu hình với VPN người dùng di động với IKEv2 hoặc branch office VPN sử dụng IKEv2 tới một dynamic gateway peer, và cả hai cấu hình đó đã bị xóa, Firebox đó vẫn có thể dễ bị tấn công nếu branch office VPN tới một static gateway peer vẫn được cấu hình."
Các phiên bản bị ảnh hưởng và bản vá
Lỗ hổng này ảnh hưởng đến các phiên bản Fireware OS sau:
- 2025.1 - Đã được vá trong 2025.1.4
- 12.x - Đã được vá trong 12.11.6
- 12.5.x (T15 & T35 models) - Đã được vá trong 12.5.15
- 12.3.1 (FIPS-certified release) - Đã được vá trong 12.3.1_Update4 (B728352)
- 11.x (11.10.2 up to and including 11.12.4_Update1) - End-of-Life
Các cuộc tấn công đang diễn ra và IoCs
WatchGuard thừa nhận rằng họ đã quan sát thấy các threat actor đang tích cực cố gắng khai thác lỗ hổng này trong thực tế, với các cuộc tấn công bắt nguồn từ các địa chỉ IP sau:
Đáng chú ý, địa chỉ IP "199.247.7[.]82" cũng đã được Arctic Wolf gắn cờ vào đầu tuần này là có liên quan đến việc khai thác hai lỗ hổng bảo mật mới được công bố trong Fortinet FortiOS, FortiWeb, FortiProxy và FortiSwitchManager (CVE-2025-59718 và CVE-2025-59719, điểm CVSS: 9.8).
Công ty có trụ sở tại Seattle này cũng đã chia sẻ nhiều chỉ số thỏa hiệp (IoCs) mà chủ sở hữu thiết bị có thể sử dụng để xác định xem các hệ thống của họ có bị lây nhiễm hay không:
- Một thông báo log ghi rõ "Received peer certificate chain is longer than 8. Reject this certificate chain" khi Firebox nhận được một IKE2 Auth payload với hơn 8 chứng chỉ
- Một thông báo log yêu cầu IKE_AUTH với kích thước payload CERT lớn bất thường (lớn hơn 2000 bytes)
- Trong quá trình khai thác thành công, tiến trình iked sẽ bị treo, làm gián đoạn các kết nối VPN
- Sau một cuộc khai thác thất bại hoặc thành công, tiến trình IKED sẽ bị crash và tạo một fault report trên Firebox
Khuyến nghị và biện pháp giảm thiểu
Tiết lộ này được đưa ra chỉ hơn một tháng sau khi Cơ quan An ninh Cơ sở hạ tầng và An ninh Mạng Hoa Kỳ (CISA) đã thêm một lỗ hổng Fireware OS nghiêm trọng khác của WatchGuard (CVE-2025-9242, điểm CVSS: 9.3) vào danh mục Known Exploited Vulnerabilities (KEV) của mình sau các báo cáo về việc khai thác tích cực.
Hiện vẫn chưa rõ liệu hai bộ cuộc tấn công này có liên quan đến nhau hay không. Người dùng được khuyến nghị nên áp dụng các bản cập nhật càng sớm càng tốt để bảo vệ khỏi mối đe dọa.
Để giảm thiểu tạm thời cho các thiết bị có cấu hình Branch Office VPN (BOVPN) dễ bị tấn công, công ty đã khuyến nghị các quản trị viên tắt dynamic peer BOVPNs, tạo một alias bao gồm các địa chỉ IP tĩnh của các remote BOVPN peer, thêm các chính sách tường lửa mới cho phép truy cập từ alias, và tắt các chính sách tích hợp mặc định xử lý lưu lượng VPN.
