邊界安全防禦體系的嚴重破口

在現代企業的網路架構中，邊界防火牆是抵禦外部威脅的第一道防線。然而，近期 WatchGuard 發布的資安警訊揭示了一個令人擔憂的現況：其核心產品 Firebox 防火牆正遭受針對性的遠端程式碼執行（RCE）攻擊。台灣應用軟件觀測到，這類針對網路邊界設備的攻擊具備高度的自動化與隱蔽性。此次漏洞的發現不僅挑戰了現有的周邊防護信任模型，更再次強調了硬體通訊協議在實現過程中的脆弱性。當防火牆本身成為攻擊者的進入點，整個內部網路的受信任環境將面臨崩潰。

 

CVE-2025-14733 技術缺陷與影響範疇

WatchGuard 已警告客戶，其 Firebox 防火牆中存在一個嚴重的、已被積極利用的遠端程式碼執行 (RCE) 漏洞，需要進行修補。此安全漏洞編號為 CVE-2025-14733，影響執行 Fireware OS 11.x 及更高版本（包括 11.12.4_Update1）、12.x 及更高版本（包括 12.11.5）以及 2025.1 至 2025.1.3 的防火牆。

該漏洞是由於越界寫入弱點造成的，使得未經身份驗證的攻擊者能夠在未打補丁的設備上遠端執行惡意程式碼，此前攻擊者已成功利用該漏洞進行無需用戶交互的低複雜度攻擊。雖然未修補的 Firebox 防火牆只有在配置為使用 IKEv2 VPN 時才會受到攻擊，但 WatchGuard 指出，即使已刪除易受攻擊的配置，如果仍然配置了到靜態網關對等體的分支機構 VPN，它們仍然可能受到攻擊。

 

配置殘留與 VPN 協議的安全隱患

本漏洞最顯著的危險在於其配置關聯性。WatchGuard 在周四發布的一份公告中解釋說：「如果 Firebox 之前配置了使用 IKEv2 的行動用戶 VPN 或使用 IKEv2 連接到動態網關對等體的分支機構 VPN，並且這兩個配置後來都被刪除了，那麼如果仍然配置了連接到靜態網關對等體的分支機構 VPN，則該漏洞將是 Firebox 仍然可能存在。」

這種「配置殘留影響」反映了韌體在處理 IKEv2（網際網路金鑰交換協議第 2 版）堆疊時的深層邏輯錯誤。即使管理者認為已關閉高風險服務，底層的處理邏輯若未被徹底更新，攻擊者仍可透過構造惡意的 IKEv2 數據包觸發越界寫入，進而掌控設備權限。

 

應急緩釋措施與應對策略

針對無法立即重啟設備進行完整修補的組織，台灣應用軟件建議必須立即執行暫時性的風險緩釋。該公司還為無法立即修補存在易受攻擊的分支機構 VPN (BOVPN) 配置的設備的組織提供了一個臨時解決方法，要求管理員禁用動態對等 BOVPN，添加新的防火牆策略，並禁用處理 VPN 流量的預設系統策略。

此外，管理者應強化日誌監控，特別是針對 IKEv2 協商過程中的異常封包記錄。在過渡期間，考慮限制存取管理介面的來源 IP 位址，並對所有分支機構（BOVPN）連接點實施嚴格的流量過濾，以最小化受攻擊面。

 

歷史漏洞軌跡與供應鏈安全反思

此次事件並非孤立現象。9 月，WatchGuard 修復了另一個（幾乎完全相同的）遠端程式碼執行漏洞，該漏洞影響其 Firebox 防火牆（CVE-2025-9242）。一個月後，網路安全監督機構 Shadowserver 發現超過 75,000 台 Firebox 防火牆有 CVE-2025-9242 漏洞，其中大部分位於北美和歐洲。

連續出現相似性質的 RCE 漏洞，顯示出攻擊者正高度聚焦於防火牆韌體的協議實作瑕疵。這對於全球使用 Firebox 作為安全骨幹的企業而言，是一個嚴峻的警訊。這也反映出漏洞補丁的滲透率普遍偏低，許多企業在面對已知漏洞時，往往因為營運連續性（Business Continuity）的考量而推遲修補，這反而給了威脅者長期的攻擊窗口。

 

長期安全加固建議

面對 CVE-2025-14733 等針對性極強的漏洞，企業不應僅止於「救火式」的修補。長遠來看，應建立自動化的設備資產清單與漏洞追蹤機制，確保所有邊界設備皆能在 48 小時內完成關鍵補丁的評估與部署。

同時，建議企業評估是否過度依賴單一防禦層級。應採納零信任（Zero Trust）架構，假設邊界設備可能隨時失守，並在內部網路實施微隔離（Micro-segmentation），限制受損設備對核心資料庫或關鍵服務的影響。唯有透過韌體修補、策略優化與架構轉型三管齊下，才能在數位威脅日益加劇的環境下，守護企業最核心的數位資產。

資料來源：https://www.bleepingcomputer.com/news/security/watchguard-warns-of-new-rce-flaw-in-firebox-firewalls-exploited-in-attacks/