(画像クレジット:Pixabay)
- CVE-2025-9242は、WatchGuard Firewareデバイス上で認証されていないリモートコード実行を可能にします
- この脆弱性は、動的ゲートウェイピアを使用するIKEv2のVPN構成に影響します
- 企業は影響を受けるバージョンにパッチを適用し、インターネットアクセスを必要最小限のデバイスのみに制限するべきです
WatchGuard Firewareは、WatchGuardの多くのソフトウェアを支えるオペレーティングシステムであり、脅威アクターが任意のコードをリモートで実行し、事実上侵害されたデバイスを乗っ取ることを可能にする重大な脆弱性が存在していたと、同社が警告しています。
この脆弱性はCVE-2025-9242として追跡されており、深刻度スコアは9.3/10(クリティカル)と評価されています。これは、認証されていない存在が任意のコードを実行できるアウトオブバウンズ書き込みの脆弱性と説明されています。
「この脆弱性は、動的ゲートウェイピアで構成されたIKEv2を使用するモバイルユーザーVPNおよび支店間VPNの両方に影響します」とWatchGuardは最近のセキュリティアドバイザリで説明しています。
ランサムウェア集団にとっては朗報
バージョン11.10.2から11.12.4_Update 1、およびバージョン12.0 – 12.11.3と2025.1が影響を受けるとされており、FireGuardはこれらのバージョンの脆弱性に対応するパッチをリリースしました:
2025.1 – 2025.1.1で修正
12.x – 12.11.4で修正
12.3.1(FIPS認定リリース) – 12.3.1_Update3(B722811)で修正
12.5.x(T15 & T35モデル) – 12.5.13で修正
11.x – サポート終了
この脆弱性の分析において、セキュリティ研究者watchTowrは「あなたの身近なランサムウェア集団が好むすべての特徴を備えている」と述べています ― インターネット接続されたデバイスで発見され、認証なしで悪用可能であり、リモートで悪意のあるコードを実行できる点です。
ランサムウェアオペレーターは、ファイアウォールやルーターを好んで標的にします。これらはネットワーク上のほとんどのインターネットトラフィックのゲートウェイとして機能するためです。
また、ファイルサーバーやドメインコントローラーも重視されます。これらを暗号化することで多くのユーザーに影響を与えられるためです。さらに、RDPやVPNゲートウェイ、ファイアウォールの公開管理ポート、バックアップ、クラウドストレージとアカウント、ネットワーク接続ストレージ(NAS)などのリモートアクセスサービスも標的となります。
安全を保つために、企業はインターネットアクセスを必要最小限のデバイスのみに制限し、その他はローカルネットワーク内にとどめるべきです。また、すべてのソフトウェアとハードウェアが最新であることを確認し、従業員が最新のフィッシングやソーシャルエンジニアリングの手口を把握していることも重要です。
