Fundacja Shadowserver Foundation ujawniła, że ponad 71 000 urządzeń WatchGuard z systemem operacyjnym Fireware OS, które są wystawione do Internetu, działa na podatnych wersjach oprogramowania.
Szczegóły podatności
Podatność, której został nadany identyfikator CVE-2025-9242, jest luką typu Out-of-bounds Write w implementacji protokołu IKEv2. Luka ta dotyczy procesu iked w WatchGuard Fireware OS.
Luka powstaje podczas przetwarzania pakietów IKEv2, gdzie niewłaściwa kontrola może prowadzić do uszkodzenia pamięci (memory corruption).
Potencjalny wpływ tej podatności jest Krytyczny. Oceniono ją na 9.8 w skali CVSS v3.1 oraz 9.3 w skali CVSS 4.0. Co najważniejsze, podatność potencjalnie umożliwia zdalne wykonanie dowolnego kodu przez nieuwierzytelnionego atakującego bez konieczności interakcji użytkownika.
Urządzenia są wrażliwe, jeśli skonfigurowano je z mobilnym VPN użytkownika z IKEv2 lub VPN (BOVPN) używającym IKEv2 z dynamiczną bramą peer. Luka może dotyczyć urządzenia nawet po usunięciu tych konfiguracji, jeśli nadal skonfigurowany jest BOVPN do statycznej bramy peer.
Problem dotyczy systemów Fireware OS w wersjach poprzedzających 12.10.3, w tym 11.10.2 do 11.12.4_Update1, 12.0 do 12.11.3 oraz 2025.1. Dotyczy to szerokiej gamy popularnych modeli firewalli, w tym urządzeń Firebox serii T i serii M.
Ryzyko
Eksperci ostrzegają, że udana eksploatacja CVE-2025-9242 pozwala atakującym na zdobycie pełnej kontroli nad urządzeniem i przeniknięcie do sieci wewnętrznych. Tego typu włamania mogą prowadzić do niszczycielskich ataków, takich jak infekcja ransomware lub ekfiltracja danych, szczególnie w sektorach polegających na sprzęcie WatchGuard, takich jak opieka zdrowotna i finanse.
Monitoring
- Skonfiguruj logowanie procesu iked na poziomie „Error” i monitoruj dla takich zdarzeń jak: „IKE_AUTH request message has … payload IDi(sz=300)”
- Wprowadź alerty detekcji zawieszenia lub awarii procesu iked na urządzeniu co może być sygnałem udanego ataku.
Rekomendacje
- Zidentyfikuj wszystkie urządzenia WatchGuard Firebox w infrastrukturze (T-series, M-series, wersje Fireware OS) oraz ich wersje systemu.
- Urządzenia z podatnymi wersjami należy zaktualizować do: Fireware OS 2025.1.1, 12.11.4, 12.5.13, 12.3.1_Update3.
- Jeżeli natychmiastowa aktualizacja nie jest możliwa zastosuj wskazaną przez producenta procedurę tymczasowego zabezpieczenia (workaround/advisory) – np. ograniczenie IKEv2 lub zmiana konfiguracji VPN.
- Po aktualizacji należy zmienić wszystkie lokalnie przechowywane klucze, hasła, certyfikaty na urządzeniu Firebox.
Szczegóły: https://www.watchguard.com/wgrd-psirt/advisory/wgsa-2025-00015
