關閉選單
研究人員發現 WatchGuard VPN 漏洞,可能使攻擊者接管設備

網路安全研究人員披露了 WatchGuard Fireware 中最近修補的一個嚴重安全漏洞的詳細信息,該漏洞可能允許未經身份驗證的攻擊者執行任意程式碼。此漏洞編號為CVE-2025-9242(CVSS 評分:9.3),為越界寫入漏洞,影響 Fireware OS 11.10.2 至 11.12.4_Update1、12.0 至 12.11.3 和 2025.1。

WatchGuard在上個月發布的安全公告中指出:「WatchGuard Fireware OS iked進程中存在一個越界寫入漏洞,可能允許遠端未經身份驗證的攻擊者執行任意程式碼。此漏洞會影響使用 IKEv2 的行動用戶 VPN,以及使用 IKEv2 配置動態網關的分支機構 VPN。」該問題已在以下版本中解決:
(1) 2025.1 - Fixed in 2025.1.1
(2) 12.x - Fixed in 12.11.4
(3) 12.3.1 (FIPS-certified release) - Fixed in 12.3.1_Update3 (B722811)
(4) 12.5.x (T15 & T35 models) - Fixed in 12.5.13)
(5) 11.x - Reached end-of-life

WatchGuard Fireware OS中的CVE-2025-9242漏洞以其極高的CVSS評分9.3,被評為嚴重等級,對全球企業和組織構成重大威脅。此漏洞的核心是越界寫入(Out-of-Bounds Write)缺陷,發生在WatchGuard Fireware OS的iked進程中。iked進程負責處理IKEv2 (Internet Key Exchange version 2)協議,IKEv2是建立和維護IPsec VPN連線的關鍵組件。

此漏洞最危險之處在於其「未經身份驗證的遠端程式碼執行(Unauthenticated Remote Code Execution, RCE)」特性。這意味著,攻擊者無需任何憑證,僅透過向受影響的WatchGuard設備發送特製的IKEv2封包,就能在設備上執行任意程式碼。對於作為網路邊界安全核心的VPN設備而言,RCE漏洞的影響是災難性的,它可能導致:

  1. 完全設備控制: 攻擊者獲得設備的root權限,能夠竊取VPN會話、憑證、網路配置,甚至將設備轉變為攻擊其他內部網路的跳板。

  2. 網路滲透入口: VPN設備是遠端用戶和分支機構連線到核心網路的信任管道。一旦VPN設備被RCE利用,攻擊者可以直接繞過多層邊界防禦,深入企業內部網路。

  3. 服務中斷: 攻擊者可能故意破壞設備的正常運作,導致VPN服務中斷,影響遠端辦公和分支機構的業務連續性。

此漏洞特別影響使用IKEv2的行動用戶VPN配置動態網關的分支機構VPN。這涵蓋了當前混合辦公和多分支機構部署環境中常見的兩種VPN使用場景,使得遠端工作者和分支機構的連線成為潛在的攻擊入口。

WatchGuard已迅速發布了修補程式,涵蓋了Fireware OS的2025.1、12.x和12.3.1 (FIPS-certified release)以及12.5.x版本。然而,值得注意的是,Fireware OS 11.x版本已經達到支援終止(End-of-Life, EOL)。這表示11.x的設備將不會收到此漏洞的任何修補程式,它們將永久地暴露於CVE-2025-9242的攻擊風險之下。對於仍在使用這些EOL設備的企業,必須立即將其從網路中移除或替換為受支援的版本,以避免成為不可修復的資安黑洞。

所有使用WatchGuard設備的組織,尤其是那些部署IKEv2 VPN的客戶,必須將此漏洞的修補工作列為最高優先級。未能及時更新將使企業面臨極高的未經身份驗證的遠端攻擊風險,後果可能包括敏感數據洩露、大規模網路入侵和嚴重的業務中斷。除了修補,企業也應審核其VPN日誌和設備行為,檢查在修補程式發布前是否有任何可疑的IKEv2流量或異常活動。


資料來源:https://thehackernews.com/2025/10/researchers-uncover-watchguard-vpn-bug.html
 
分析WatchGuard Fireware OS中一個近期修補的嚴重安全漏洞CVE-2025-9242,該漏洞CVSS評分高達9.3,屬於越界寫入類型。