WatchGuard 已发布安全更新,以修复影响该公司 Firebox 防火墙的远程代码执行漏洞。
该漏洞编号为 CVE-2025-9242,属于**越界写入(Out-of-bounds Write)**弱点,攻击者成功利用后,可在受影响的设备上远程执行恶意代码。
CVE-2025-9242 影响运行 Fireware OS 11.x(已停止支持)、12.x 和 2025.1 的防火墙,官方已在以下版本中修复:12.3.1_Update3 (B722811)、12.5.13、12.11.4 和 2025.1.1。
虽然 Firebox 防火墙仅在配置了 IKEv2 VPN 时才容易受到攻击,但 WatchGuard 补充警告,即使已删除存在漏洞的配置,如果设备仍配置了到静态网关对等体(static gateway peer)的分支办公室 VPN(BOVPN),仍有被入侵的风险。
该公司在周三发布的公告中指出:
“Fireware OS 中 iked 进程的越界写入漏洞,可能允许远程的未认证攻击者执行任意代码。该漏洞会影响使用 IKEv2 协议的移动用户 VPN,以及配置了动态网关对等体(dynamic gateway peer)的分支办公室 VPN。”
“如果 Firebox 之前配置过基于 IKEv2 的移动用户 VPN,或基于动态网关对等体的分支办公室 VPN,即使后来删除了这些配置,只要设备仍配置了到静态网关对等体的分支办公室 VPN,仍可能存在漏洞风险。”
受影响的防火墙产品分支:
| 产品分支 | 受影响的防火墙型号 |
|---|---|
| Fireware OS 12.5.x | T15, T35 |
| Fireware OS 12.x | T20, T25, T40, T45, T55, T70, T80, T85, M270, M290, M370, M390, M470, M570, M590, M670, M690, M440, M4600, M4800, M5600, M5800, Firebox Cloud, Firebox NV5, FireboxV |
| Fireware OS 2025.1.x | T115-W, T125, T125-W, T145, T145-W, T185 |
对于暂时无法立即打补丁、且运行存在漏洞软件并配置了 BOVPN 静态网关对等体 的设备,WatchGuard 提供了临时缓解措施。
管理员需要:
- 禁用动态对等体 BOVPN,
- 添加新的防火墙策略,
- 禁用默认的 VPN 流量系统策略。
具体步骤已在官方支持文档中给出,指导管理员如何保护使用 IPSec 和 IKEv2 的 BOVPN。
目前尚无证据表明该严重漏洞已被利用,但 WatchGuard 建议管理员尽快为 Firebox 设备打补丁。防火墙一向是黑客的重点攻击目标。例如,Akira 勒索软件团伙正积极利用 CVE-2024-40766(一年前披露的高危漏洞)来入侵 SonicWall 防火墙。
早在 2022 年 4 月,美国网络安全和基础设施安全局(CISA)也曾要求联邦政府民用机构修补一个已被广泛利用的漏洞,该漏洞影响 WatchGuard Firebox 和 XTM 防火墙设备。
发表评论
您还未登录,请先登录。
登录