米国サイバーセキュリティ庁(CISA)は、WatchGuard Fireboxファイアウォールにおける最近発見された重大な脆弱性が実際に悪用されていると警告しています。
WatchGuardのFireware OSを搭載したFireboxネットワークセキュリティデバイスは、内部ネットワークへの出入りする全てのトラフィックを制御し、外部からの脅威から環境を保護するよう設計されています。
9月、WatchGuardはFireware OSのikedプロセスに存在する重大なアウトオブバウンズ書き込みバグが、認証されていないリモートコード実行に悪用される可能性があると警告しました。
CVE-2025-9242(CVSSスコア9.3)として追跡されているこのセキュリティ欠陥は、「IKEv2を使用したモバイルユーザーVPNおよび動的ゲートウェイピアで構成されたIKEv2を使用する支社VPN」の両方に影響するとWatchGuardは述べています。
10月下旬、WatchTowrがこの脆弱性に関する技術的な解説を公開した直後、The Shadowserver Foundationは、7万3,000台以上のFireboxネットワーク機器がこのバグに対して未修正であることをスキャナーが検知していると警告しました。
現在、CISAはCVE-2025-9242を既知の悪用済み脆弱性(KEV)リストに追加し、連邦機関に対し、拘束力のある運用指令(BOD)22-01に基づき3週間以内の修正を強く求めています。
WatchGuardは、Fireware OSバージョン2025.1.1、12.11.4、12.5.13、12.3.1_Update3(B722811)でこの問題を解決しており、サポート終了となったFireware OS 11.xについては修正を提供しないとしています。
10月21日、ベンダーはアドバイザリを更新し、この脆弱性が実際に悪用されていることと、侵害の痕跡(IOC)を追記しました。
「この更新時点で、修正版を含む最新のFireware OSをインストールすることに加え、管理者は脆弱なFirebox機器上にローカル保存されている全てのシークレットをローテーションする対策を講じるべきです」と同社は述べています。
CISAはこのセキュリティ欠陥を、GladinetのTriofoxセキュアファイル共有およびリモートアクセスソリューションにおける重大な脆弱性CVE-2025-12480、およびWindowsカーネルの権限昇格バグCVE-2025-62215とともにKEVリストに追加しました。
Gladinetは7月下旬にTriofoxの脆弱性を修正し、その悪用は1か月後に始まりました。Windowsカーネルの欠陥はゼロデイとして悪用されています。
翻訳元: https://www.securityweek.com/critical-watchguard-firebox-vulnerability-exploited-in-attacks/
