一款高危零日漏洞已突破 WatchGuard Firebox 防火墙的安全防线,企业网络管理员正面临与时间赛跑的紧急处置局面。该漏洞编号为 CVE-2025-14733,通用漏洞评分系统(CVSS)评分为 9.3 分,攻击者无需身份认证即可远程执行任意代码,全面接管企业防火墙设备。
据 WatchGuard 官方安全公告显示,“我们已监测到攻击者正通过该漏洞发起实时攻击”。
该漏洞存在于 Fireware 操作系统中负责处理虚拟专用网络(VPN)互联网密钥交换协议第 2 版(IKEv2)协商的 iked 进程,本质是一种内存越界写入(Out-of-bounds Write) 类型的内存损坏漏洞,攻击者可远程触发该漏洞。
公告指出,“Fireware 操作系统 iked 进程中的内存越界写入漏洞,可能允许远程未认证攻击者执行任意代码”。
攻击者只需向防火墙的 VPN 接口发送构造特殊的恶意数据包,即可导致服务崩溃,更严重时可注入恶意指令,以系统级权限控制设备。
此漏洞的特殊危害还体现在其 “潜伏性” 上。漏洞主要影响采用 IKEv2 协议的移动用户 VPN 与分支办公 VPN 配置,但即便关闭这些功能,设备仍可能存在风险。
公告特别警示一种 “僵尸配置” 场景:“若 Firebox 曾配置过 IKEv2 移动用户 VPN,且相关配置已删除,但分支办公 VPN 仍保留与静态网关对等体的连接配置,该设备仍可能处于漏洞暴露状态”。
这意味着,部分管理员以为删除动态 VPN 配置就能降低风险,却可能因残留的静态隧道连接而依旧面临攻击威胁。
WatchGuard 已发布专属攻击指标(IoAs),帮助管理员排查是否已遭攻击。
攻击者的攻击行为会在日志中留下明显痕迹,其中最典型的特征是发送异常超大的证书载荷。管理员应重点排查日志中是否出现如下报错信息:“收到的对等端证书链长度超过 8,拒绝该证书链”。
此外,以下 IP 地址已被确认与本次攻击活动直接相关:
45.95.19.50
51.15.17.89
172.93.107.67
199.247.7.82
该漏洞影响范围广泛,涵盖 Fireware OS 12.x 系列及 2025.1 版本。WatchGuard 已发布修复版本(2025.1.4、12.11.6、12.5.15),并强烈建议用户立即升级系统。
但修补系统仅为第一步。由于该漏洞可导致设备被完全控制,即使完成修补,设备中存储的密钥等敏感信息仍可能已被窃取。
公告强调,“除安装包含漏洞修复的最新版 Fireware 操作系统外,确认设备遭攻击的管理员还需重置所有本地存储的密钥信息”,包括预共享密钥、密码以及身份认证证书等,这些信息都可能在补丁安装前已被攻击者窃取。
发表评论
您还未登录,请先登录。
登录