WatchGuard закрыла критические уязвимости в Fireware OS и VPN-клиенте для Windows

WatchGuard

Компания WatchGuard выпустила внеплановые обновления безопасности для операционной системы Fireware OS и клиента Mobile VPN with SSL для Windows. В бюллетенях, опубликованных 2 июля 2026 года, сообщается о двух уязвимостях разной степени опасности: одна затрагивает механизм аутентификации Mobile VPN с IKEv2 при использовании внешнего LDAP-сервера, вторая - локальное повышение привилегий в клиенте VPN для Windows. Речь идёт о продуктах семейства Firebox, широко применяемых в корпоративной среде для защиты периметра сети.

Детали уязвимостей

Наиболее серьёзная проблема получила идентификатор CVE-2026-13368 и оценку 9,2 балла по шкале CVSS (критический уровень). Причина - состояние гонки (race condition), приводящее к use-after-free в процессе обработки LDAP-аутентификации для Mobile User VPN с протоколом IKEv2. Удалённый неавторизованный злоумышленник может воспользоваться этой ошибкой для выполнения произвольного кода в контексте процесса iked на межсетевых экранах Firebox, где настроено подключение к внешнему LDAP-серверу. Атака возможна без предварительной аутентификации, однако для её успеха требуется, чтобы целевое устройство было доступно по сети и имело активную конфигурацию Mobile VPN с IKEv2 с привязкой к LDAP.

Уязвимость затрагивает широкий диапазон версий Fireware OS: 11.0 - 11.12.4_Update1, 12.0 - 12.12, 12.5 - 12.5.18 и 2025.1 - 2026.2. Производитель уже предоставил исправления: для версии 2025.1 обновление до 2026.2.1, для ветки 12.x - сборка 12.12.1. Для линейки 11.x WatchGuard официально прекратила поддержку (End of Life), поэтому патч для неё не выпущен. Не осталась без внимания и аппаратная платформа: модели T15 и T35, работающие под управлением Fireware OS 12.5.x, пока остаются без исправления - компания указала это как нерешённую проблему, не приведя сроков. Всем владельцам таких устройств рекомендуется либо временно отключить IKEv2-соединения с LDAP, либо перенести настройки на другую платформу.

Вторая уязвимость, CVE-2026-13079, оценена как высокая (7,3 балла). Она связана с локальным повышением привилегий в клиенте Mobile VPN with SSL для Windows (все версии до 2026.2 включительно). Злоумышленник, уже имеющий доступ к системе учётной записи с ограниченными правами, может выполнить произвольный код от имени системной учётной записи NT AUTHORITY\SYSTEM. Речь идёт о классическом повышении привилегий через некорректную обработку клиентского приложения. Исправление доступно в версии 2026.2.1 того же клиента.

Обе проблемы были обнаружены внешними исследователями: первая - специалистом под псевдонимом Cody Sixteen, вторая - Полом Арзелье из компании Truesec. WatchGuard поблагодарила их за ответственное раскрытие.

Клиенты WatchGuard должны как можно скорее установить обновления. Для владельцев Firebox с Fireware OS 2025.1, 12.x и 12.5.x (кроме T15/T35) патчи уже доступны через панель управления устройством или сайт поддержки. Для владельцев моделей T15 и T35 на ветке 12.5.x временная мера - отказ от использования Mobile VPN с IKEv2 в связке с LDAP, либо переход на более новую версию ПО при наличии такой возможности. Пользователям Windows-клиента Mobile VPN with SSL следует обновиться до версии 2026.2.1.

Ситуация отражает общую тенденцию: критическая ошибка в компоненте удалённого доступа (IKEv2) появляется в продуктах, где ранее уже фиксировались подобные проблемы с race condition и use-after-free. Отсутствие патча для устаревшей версии 11.x и двух моделей T15/T35 - это напоминание о том, что прекращение поддержки означает не только отсутствие новых функций, но и неспособность закрыть серьёзные бреши. Для корпоративных заказчиков, использующих WatchGuard, текущий релиз - повод пересмотреть жизненный цикл оборудования и своевременно обновлять прошивки, особенно когда речь идёт о VPN-шлюзах, открытых в интернет.

Ссылки

Комментарии: 0