米国サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は、WatchGuard Firebox ファイアウォールに影響する、現在積極的に悪用されている脆弱性について、政府機関にパッチ適用を行うよう警告しました。
リモートの攻撃者は、この重大なセキュリティ欠陥(CVE-2025-9242)を悪用し、Fireware OS 11.x(サポート終了)、12.x、および 2025.1 を実行しているファイアウォールに存在するバッファ境界外書き込みの脆弱性を突くことで、脆弱なデバイス上で悪意あるコードをリモートから実行できます。
CISA はこの脆弱性を新たに追加し、既知悪用脆弱性(KEV)カタログに掲載しました。また、拘束力のある運用指令(BOD)22-01 に基づき、連邦民間行政機関(FCEB)に対し、継続中の攻撃からシステムを保護するため、12 月 3 日までの 3 週間以内に対策を講じるよう求めています。
「この種の脆弱性は、悪意あるサイバー攻撃者にとって頻繁に利用される攻撃ベクターであり、連邦組織に重大なリスクをもたらします」と、同サイバーセキュリティ機関は述べています。
「ベンダーの指示に従って緩和策を適用し、クラウドサービスには該当する BOD 22-01 のガイダンスに従うか、緩和策が利用できない場合は製品の使用を中止してください。」
WatchGuard は 9 月 17 日に、この脆弱性へ対処するセキュリティパッチをリリースしましたが、同社がこれを攻撃で悪用されているとラベル付けしたのは、ほぼ 1 か月後の 10 月 21 日になってからでした。
その前日の 10 月 20 日には、インターネット監視団体 Shadowserver が、世界中で 75,000 台以上の脆弱な Firebox アプライアンスを追跡していることを明らかにしました。Shadowserver の最新統計によると、この数はわずか 54,000 台強まで減少しており、そのほとんどが欧州と北米に位置しています。
CISA の命令は連邦機関のみに適用されますが、ファイアウォールは脅威アクターにとって魅力的な標的であるため、すべての組織に対し、この脆弱性のパッチ適用を可能な限り早急に優先するよう推奨されています。
例えば、Akira ランサムウェア集団は、重大度が高い 1 年前の脆弱性 CVE-2024-40766 を積極的に悪用し、2024 年 9 月以降、SonicWall ファイアウォールへの侵入に利用しています。
2 年前の 2022 年 4 月にも、サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は、WatchGuard Firebox および XTM ファイアウォールアプライアンスに影響する、積極的に悪用されているバグに対し、連邦民間機関にパッチ適用を命じています。
WatchGuard は、世界中の 25 万社を超える中小企業のネットワークを保護するため、17,000 社以上のセキュリティ再販業者およびサービスプロバイダーと提携しています。
水曜日には、CISA は連邦機関に対し、ゼロデイ攻撃で悪用されている Windows カーネルの脆弱性(CVE-2025-62215)についてもパッチ適用を命じました。この脆弱性により、低レベル権限しか持たないローカル攻撃者が、SYSTEM レベルのアクセス権を取得できてしまいます。
