Với mã định danh CVE-2025-9242, kẻ tấn công có thể sử dụng lỗ hổng bảo mật nghiêm trọng này để thực thi mã độc từ xa trên các thiết bị tồn tại điểm yếu, bằng cách khai thác lỗi ghi ngoài giới hạn trong tường lửa chạy Fireware OS 11.x (đã hết vòng đời), 12.x và 2025.1.

CISA bổ sung lỗ hổng bảo mật này vào danh mục Lỗ hổng bảo mật đã biết (KEV) và đưa ra thời hạn cho các cơ quan thuộc Chi nhánh hành pháp dân sự liên bang (FCEB) ba tuần, cho đến ngày 3/12, để bảo vệ hệ thống của họ trước các cuộc tấn công đang diễn ra theo yêu cầu của Chỉ thị hoạt động ràng buộc (BOD) 22-01.

Sau khi WatchGuard phát hành bản vá bảo mật để giải quyết lỗ hổng vào ngày 17/9, công ty chỉ gắn thẻ CVE-2025-9242 là đã bị khai thác trong các cuộc tấn công gần một tháng sau đó, tức ngày 21/10. Một ngày trước thời điểm này, Cơ quan giám sát Internet Shadowserver tiết lộ rằng họ đang theo dõi hơn 75.000 thiết bị Firebox dễ bị tấn công trên toàn thế giới. Con số này giảm xuống còn hơn 54.000, theo thống kê mới nhất của Shadowserver, hầu hết trong số đó nằm ở châu Âu và Bắc Mỹ.

Thiết bị WatchGuard Firebox dễ bị tấn công

Mặc dù lệnh của CISA chỉ áp dụng cho các cơ quan liên bang, nhưng tất cả các tổ chức đều được khuyến cáo nên ưu tiên vá lỗ hổng này càng sớm càng tốt vì tường lửa là mục tiêu hấp dẫn đối với các tác nhân đe dọa. Đơn cử như, nhóm tin tặc mã độc tống tiền Akira đã tích cực khai thác CVE-2024-40766, một lỗ hổng nghiêm trọng tồn tại một năm, để tấn công vào tường lửa SonicWall kể từ tháng 9/2024.

Hai năm trước, vào tháng 4/2022, CISA cũng đã ra lệnh cho các cơ quan dân sự liên bang vá một lỗi đang bị khai thác ảnh hưởng đến các thiết bị tường lửa WatchGuard Firebox và XTM.

Mới đây nhất, CISA đưa ra cảnh báo cho các cơ quan liên bang vá lỗ hổng Windows Kernel (CVE-2025-62215) bị khai thác trong các cuộc tấn công zero-day, cho phép kẻ tấn công cục bộ có đặc quyền có thể leo thang cấp SYSTEM.