WatchGuard Fireware dính lỗ hổng RCE nghiêm trọng CVE-2025-9242

Một lỗ hổng bảo mật nghiêm trọng CVE-2025-9242 vừa được công bố trong WatchGuard Fireware OS, cho phép kẻ tấn công RCE mà không cần xác thực. Lỗ hổng có điểm CVSS 9.3, được mô tả là hội tụ đủ yếu tố nguy hiểm do ảnh hưởng trực tiếp đến các dịch vụ VPN IKEv2 phơi bày trên internet.

Lỗ hổng, được định danh là CVE-2025-9242, là một lỗi out-of-bounds write trong tiến trình iked của hệ điều hành. Theo khuyến cáo của WatchGuard, lỗ hổng này ảnh hưởng đến cả Mobile User VPN sử dụng IKEv2 và Branch Office VPN sử dụng IKEv2 khi được cấu hình với dynamic gateway peer.

Phân tích từ watchTowr Labs mô tả lỗ hổng này có tất cả các đặc điểm mà các băng nhóm ransomware yêu thích, bao gồm ảnh hưởng đến dịch vụ phơi bày trên internet, có thể bị khai thác pre-auth và cho phép thực thi mã tùy ý trên thiết bị ngoại vi. Các phiên bản bị ảnh hưởng trải dài từ 11.10.2 đến 11.12.4_Update1, 12.0 đến 12.11.3 và 2025.1.

Về mặt kỹ thuật, nhà nghiên cứu McCaulay Hudson chỉ ra lỗi nằm ở hàm ike2_ProcessPayload_CERT. Hàm này được thiết kế để sao chép dữ liệu identification của client vào một buffer 520 byte trên stack. Tuy nhiên, nó thiếu cơ chế kiểm tra độ dài của dữ liệu đầu vào trước khi sao chép.

Điều đáng nói là quá trình sao chép lỗi này xảy ra trong giai đoạn IKE_SA_AUTH của quá trình handshake VPN, trước khi máy chủ kịp certificate validation của client. Điều này cho phép kẻ tấn công gửi một gói tin độc hại để kích hoạt lỗi tràn bộ đệm và chiếm quyền thực thi mã từ xa.

watchTowr cũng chứng minh cách vũ khí hóa lỗ hổng. Mặc dù Fireware OS không có shell tương tác như /bin/bash, kẻ tấn công có thể chiếm quyền kiểm soát instruction pointer register (RIP), sau đó sử dụng lệnh gọi hệ thống mprotect() để vượt qua cơ chế bảo vệ NX bit. Mục tiêu cuối cùng là tạo ra một Python shell tương tác qua TCP, từ đó leo thang đặc quyền để có được shell Linux đầy đủ bằng cách remount lại filesystem sang chế độ read/write và tải lên tệp nhị phân BusyBox.

WatchGuard đã phát hành các bản vá cho lỗ hổng này trong các phiên bản: 2025.1.1, 12.11.4, 12.3.1_Update3 (B722811) và 12.5.13. Các phiên bản thuộc dòng 11.x đã end-of-life và sẽ không nhận được bản vá.