美國網路安全和基礎設施安全局 (CISA) 週三將影響WatchGuard Fireware 的一個嚴重安全漏洞添加到其已知利用漏洞 ( KEV ) 目錄中，原因是該漏洞已被積極利用。此舉標誌著該漏洞對網路安全構成即時且不可接受的風險，需要政府機構和所有企業立即採取行動。

此漏洞為 CVE-2025-9242（CVSS 評分：9.3），是一個越界寫入漏洞，影響 Fireware OS 11.10.2 至 11.12.4_Update1 版本、12.0 至 12.11.3 版本以及 2025.1 版本。 WatchGuard 已於 9 月修復了該漏洞。這個漏洞的根本原因在於 IKE（網際網路金鑰交換）握手過程中，識別緩衝區的長度檢查缺失，導致惡意攻擊者可以在未經認證的情況下觸發漏洞並執行任意程式碼。雖然伺服器會嘗試進行憑證驗證，但由於驗證發生在漏洞程式碼運行之後，使得該漏洞路徑可在預先認證階段被觸及。

WatchGuard 在 2025 年 10 月 21 日更新的公告中表示，他們有證據表明該漏洞正被積極利用，並分享了與該活動相關的三個入侵指標 (IoC) -
(1) IKE_AUTH 請求日誌訊息，其 IKE_AUTH 請求 IDi 有效負載異常大，超過 100 位元組。
(2) 攻擊成功後，iked程序會掛起，導致VPN連線中斷。
(3) 無論攻擊成功與否，iked 進程都會崩潰，並在 Firebox 上產生故障報告。

根據Shadowserver 基金會的數據，截至 2025 年 11 月 12 日，仍有超過 54,300 個 Firebox 實例容易受到該嚴重漏洞的影響，儘管這個數字已從十月份的最高點有所下降，但風險仍然極高。美國CISA已建議聯邦行政部門（FCEB）機構在2025年12月3日之前必須應用WatchGuard的補丁。

CISA同時也將Windows核心中新揭露的漏洞CVE-2025-62215 （CVSS評分：7.0）和Gladinet Triofox中不當存取控制漏洞CVE-2025-12480（CVSS評分：9.1）加入了KEV目錄中，谷歌的Mandiant威脅防禦團隊已將CVE-2025-12480的利用歸因於其追蹤的威脅行為者UNC6485。這些不斷增加的KEV清單，提醒所有組織必須優先處理並立即修補這些已被證實遭攻擊者主動利用的關鍵漏洞。

資料來源：https://thehackernews.com/2025/11/cisa-flags-critical-watchguard-fireware.html