WatchGuard выпустила экстренное уведомление о критической уязвимости в своей линейке сетевых устройств безопасности Firebox. Уязвимость, получившая идентификатор CVE-2025-9242, затрагивает компонент iked в операционной системе Fireware OS и представляет серьёзную угрозу для информационной безопасности организаций.
Детали уязвимости
Проблема заключается в ошибке типа "запись за пределами буфера" в процедуре обработки протокола IKEv2. Это позволяет удалённому злоумышленнику без аутентификации выполнять произвольный код на уязвимых устройствах. Уязвимость затрагивает широкий спектр версий Fireware OS, включая выпуски с 11.10.2 по 11.12.4_Update1, всю серию 12.0 вплоть до версии 12.11.3, а также релиз 2025.1.
Особую озабоченность вызывает то, что риск сохраняется даже в конфигурациях, где динамические VPN-шлюзы когда-то использовались, но впоследствии были удалены. При наличии активного статического VPN-туннеля устройство остаётся уязвимым для атак. Учитывая широкое распространение устройств Firebox в корпоративных сетях и сетях малого бизнеса, потенциальное воздействие уязвимости оценивается как значительное.
WatchGuard присвоил уязвимости статус "критический" с базовым баллом CVSS 4.0 равным 9.3. Низкая сложность сетевой атаки, отсутствие необходимости в привилегиях или взаимодействии с пользователем делают эксплуатацию уязвимости относительно простой для злоумышленников, имеющих доступ к WAN-интерфейсу устройства.
Компания выпустила обновления прошивок для устранения уязвимости. Администраторам рекомендуется немедленно обновить устройства до версий 2025.1.1, 12.11.4, 12.5.13, 12.3.1_Update3 или более новых в зависимости от модели Firebox. Проверить текущую версию Fireware OS можно через Firebox System Manager или интерфейс WatchGuard Cloud.
Для сред, где немедленное обновление невозможно, WatchGuard рекомендует применить временное решение путём усиления защиты доступа к VPN-туннелям филиалов. В статье базы знаний компании "Безопасный доступ к VPN филиалов с использованием IPSec и IKEv2" описаны шаги по ограничению воздействия до момента установки обновлений.
Дополнительные меры включают сегментацию сети и настройку правил межсетевого экрана. Администраторам следует ограничить входящий трафик IKEv2 только известными IP-адресами пиров и применить списки контроля доступа, ограничивающие экспозицию VPN-порта на публичном интерфейсе.
Компания выразила благодарность исследователю под псевдонимом "btaol" за ответственное раскрытие проблемы. В список затронутых продуктов входят модели Firebox T15, T35, T20, T25, T40, T45, T55, T70, T80, T85, M270, M290, M370, M390, M470, M570, M590, M670, M690, M440, M4600, M4800, M5600, M5800, Firebox Cloud, Firebox NV5, FireboxV, а также T115-W, T125, T125-W, T145, T145-W и T185.
Своевременное применение рекомендованных обновлений и мер по усилению защиты позволит организациям обеспечить безопасность своих развёртываний WatchGuard против этой критической уязвимости. Эксперты по кибербезопасности настоятельно рекомендуют prioritize устранение данной проблемы в связи с высоким риском компрометации корпоративных сетей.
Ссылки
- https://www.cve.org/CVERecord?id=CVE-2025-9242
- https://www.watchguard.com/wgrd-psirt/advisory/wgsa-2025-00015
