Уязвимости в WatchGuard Firebox: обход проверок целостности и выполнение произвольного кода

Компания WatchGuard Technologies раскрыла критические уязвимости безопасности в своих межсетевых экранах Firebox. Эти недостатки позволяют злоумышленникам обходить проверки целостности системы и выполнять произвольный код. Патчи для устранения рисков были выпущены 4 декабря 2025 года, затрагивая шесть различных уязвимостей, которые представляют значительную угрозу для безопасности корпоративных сетей.

Детали уязвимостей

Одной из наиболее серьёзных проблем является CVE-2025-13940. Эта уязвимость средней степени опасности с оценкой CVSS 6.7 позволяет обойти проверку целостности системы во время загрузки Fireware OS. В результате Firebox может продолжать работу даже после обнаружения сбоев в целостности, что создаёт окно для эксплуатации. Уязвимость затрагивает Fireware OS версий с 12.8.1 по 12.11.4 и с 2025.1 по 2025.1.2. Таким образом, скомпрометированные системы потенциально могут функционировать со злонамеренными модификациями.

Кроме того, WatchGuard устранила несколько уязвимостей высокой степени опасности, связанных с записью за пределы буфера. Эти недостатки позволяют аутентифицированным привилегированным пользователям выполнять произвольный код. Например, CVE-2025-12196 затрагивает команду ping в интерфейсе командной строки управления, а CVE-2025-12195 нацелена на команды конфигурации IPSec. Обе уязвимости имеют оценку CVSS 8.6. Ещё один критический недостаток, CVE-2025-12026, влияет на команду запроса сертификата в компоненте certd и имеет аналогичный уровень серьёзности.

Наиболее опасной признана уязвимость CVE-2025-11838 с оценкой CVSS 8.7. Она позволяет неаутентифицированным злоумышленникам спровоцировать условие отказа в обслуживании. Эта ошибка повреждения памяти затрагивает реализацию IKEv2 в конфигурациях Mobile User VPN и Branch Office VPN с динамическими пирами. Критическую проблему обнаружил исследователь Маколей Хадсон из watchTowr. Эксплуатация возможна без аутентификации, что значительно повышает риски.

Другой проблемой высокого риска является CVE-2025-1545. Эта уязвимость внедрения XPath позволяет неаутентифицированным удалённым атакующим извлекать конфиденциальные данные конфигурации через веб-интерфейс CGI. Помимо этого, были исправлены несколько уязвимостей типа stored XSS (межсайтовый скриптинг с хранением) средней степени опасности. Они затрагивают интеграции с такими системами, как Gateway Wireless, Autotask, ConnectWise и Tigerpaw, позволяя внедрять вредоносные скрипты.

Компания выпустила комплексные патчи для нескольких линеек продуктов. Организациям, использующим Fireware OS, рекомендуется немедленно обновиться до версии 2025.1.3, 12.11.5 или 12.5.14 в зависимости от их развёртывания. Важно отметить, что версия 11.x достигла конца жизненного цикла и больше не будет получать обновления безопасности. Следовательно, пользователям этой версии необходимо перейти на поддерживаемые выпуски.

Все шесть уязвимостей теперь помечены как устранённые. Доступные обходные пути отсутствуют, что делает немедленное применение патчей единственной эффективной стратегией снижения рисков. Эксперты рекомендуют командам безопасности уделить первоочередное внимание этим обновлениям. Такое решение связано с критической важностью инфраструктуры межсетевых экранов и потенциальной возможностью полного компрометирования системы. Своевременная установка исправлений является ключевым шагом для защиты периметра сети от современных угроз.

Детали уязвимостей

Ссылки