-
09/04/2020
-
122
-
1.431 bài viết
WatchGuard cảnh báo lỗ hổng VPN nguy hiểm, ảnh hưởng nhiều phiên bản Fireware OS
WatchGuard - nhà cung cấp tường lửa Firebox và giải pháp VPN được nhiều doanh nghiệp sử dụng vừa cảnh báo khẩn về một lỗ hổng nghiêm trọng trong hệ điều hành Fireware OS đang bị tin tặc khai thác nhằm tấn công các thiết bị tường lửa Firebox. Lỗ hổng được định danh là CVE-2025-14733, điểm CVSS 9,3 có thể dẫn đến thực thi mã từ xa.
Theo WatchGuard, đây là lỗi out-of-bounds write xảy ra trong tiến trình iked, thành phần xử lý kết nối VPN sử dụng giao thức IKEv2. Kẻ tấn công từ xa có thể khai thác lỗ hổng này để thực thi mã tùy ý mà không cần xác thực từ đó chiếm quyền kiểm soát thiết bị, gián đoạn hoặc theo dõi lưu lượng VPN.
Lỗ hổng ảnh hưởng đến hai hình thức kết nối VPN phổ biến trên thiết bị WatchGuard, gồm VPN cho người dùng từ xa và VPN kết nối giữa các chi nhánh. Nguy cơ đặc biệt cao với những hệ thống cho phép kết nối VPN từ các điểm không cố định. Đáng chú ý, ngay cả khi các cấu hình VPN cũ đã được xóa, thiết bị vẫn có thể tiềm ẩn rủi ro nếu hệ thống còn duy trì cấu hình VPN kết nối chi nhánh với địa chỉ IP cố định.
Các phiên bản Fireware OS bị ảnh hưởng đã được WatchGuard phát hành bản vá, cụ thể:
- Fireware OS 2025.1 vá trong 2025.1.4
- Dòng 12.x vá trong 12.11.6
- 12.5.x (T15, T35) vá trong 12.5.15
- 12.3.1 FIPS vá trong 12.3.1_Update4
- Dòng 11.x không còn được hỗ trợ cập nhật
WatchGuard đã ghi nhận các cuộc tấn công khai thác lỗ hổng này ngoài thực tế, xuất phát từ nhiều địa chỉ mạng đáng ngờ. Đáng chú ý, một số địa chỉ từng liên quan đến các chiến dịch tấn công vào thiết bị mạng của hãng khác trong thời gian gần đây cho thấy xu hướng tin tặc đang mở rộng mục tiêu sang hạ tầng VPN của doanh nghiệp.
Theo chuyên gia WhiteHat, hệ thống có thể đang bị tấn công nếu xuất hiện các dấu hiệu bất thường như lỗi xác thực kết nối VPN, lưu lượng xác thực tăng đột biến, dịch vụ VPN bị gián đoạn hoặc tự động tạo báo cáo lỗi. WhiteHat khuyến cáo các tổ chức sớm cập nhật Fireware OS lên phiên bản đã vá; trường hợp chưa thể cập nhật ngay, cần tạm thời vô hiệu hóa các kết nối VPN không cố định, chỉ cho phép truy cập từ các địa chỉ IP đã xác định và tắt các chính sách VPN mặc định.
Theo chuyên gia WhiteHat, hệ thống có thể đang bị tấn công nếu xuất hiện các dấu hiệu bất thường như lỗi xác thực kết nối VPN, lưu lượng xác thực tăng đột biến, dịch vụ VPN bị gián đoạn hoặc tự động tạo báo cáo lỗi. WhiteHat khuyến cáo các tổ chức sớm cập nhật Fireware OS lên phiên bản đã vá; trường hợp chưa thể cập nhật ngay, cần tạm thời vô hiệu hóa các kết nối VPN không cố định, chỉ cho phép truy cập từ các địa chỉ IP đã xác định và tắt các chính sách VPN mặc định.
Theo The Hacker News