WatchGuardは、同社のFireboxファイアウォールに存在する重大で、現在悪用が確認されているリモートコード実行(RCE)脆弱性について、顧客にパッチ適用を呼びかけた。
CVE-2025-14733として追跡されているこのセキュリティ上の欠陥は、Fireware OS 11.x以降(11.12.4_Update1を含む)、12.x以降(12.11.5を含む)、および2025.1から2025.1.3まで(2025.1.3を含む)を実行しているファイアウォールに影響する。
この脆弱性は、境界外書き込みの弱点に起因し、認証されていない攻撃者が、ユーザー操作を必要としない低難易度の攻撃での悪用に成功した後、未パッチのデバイス上で悪意のあるコードをリモートから実行できるようになる。
未パッチのFireboxファイアウォールが攻撃に対して脆弱となるのは、IKEv2 VPNを使用するよう設定されている場合に限られるが、WatchGuardは、脆弱な設定が削除されていたとしても、静的ゲートウェイのピアへの支社オフィスVPNがまだ設定されている場合には侵害され得ると指摘した。
「Fireboxが以前、IKEv2を用いたモバイルユーザーVPN、または動的ゲートウェイのピアに対してIKEv2を使用する支社オフィスVPNとして設定されており、その両方の設定がその後削除されていたとしても、静的ゲートウェイのピアへの支社オフィスVPNがまだ設定されている場合、そのFireboxは依然として脆弱である可能性があります」と、WatchGuardは木曜日のアドバイザリで説明した。
「WatchGuardは、脅威アクターが実環境でこの脆弱性を積極的に悪用しようとしていることを確認しています」と同社は警告した。
同社はまた、脆弱な支社オフィスVPN(BOVPN)構成を持つデバイスに直ちにパッチを適用できない組織向けに、一時的な回避策を提供した。これには、管理者が動的ピアBOVPNを無効化し、新しいファイアウォールポリシーを追加し、VPNトラフィックを処理する既定のシステムポリシーを無効化することが求められる。
| 製品ブランチ | 脆弱なファイアウォールモデル |
|---|---|
| Fireware OS 12.5.x | T15, T35 |
| Fireware OS 2025.1.x | T115-W, T125, T125-W, T145, T145-W, T185 |
| Fireware OS 12.x | T20, T25, T40, T45, T55, T70, T80, T85, M270, M290, M370, M390, M470, M570, M590, M670, M690, M440, M4600, M4800, M5600, M5800, Firebox Cloud, Firebox NV5, FireboxV |
WatchGuardは、顧客がFireboxデバイスが侵害されていないか確認できるように侵害指標を共有し、悪意のある活動の兆候が見つかった場合は、脆弱なアプライアンスにローカル保存されているすべてのシークレットをローテーションするよう助言した。
9月には、WatchGuardは同社のFireboxファイアウォールに影響する別の(ほぼ同一の)リモートコード実行脆弱性(CVE-2025-9242)に対してパッチを提供した。1か月後、インターネット監視団体Shadowserverは、CVE-2025-9242の攻撃に対して脆弱なFireboxファイアウォールが75,000台以上存在することを発見し、その大半は北米と欧州にあった。
3週間後、米国サイバーセキュリティ・インフラストラクチャ安全保障庁(CISA)はこの脆弱性を実環境で積極的に悪用されているものとしてタグ付けし、継続中の攻撃からWatchGuard Fireboxファイアウォールを保護するよう、連邦政府機関に命じた。
2年前、CISAは、FireboxおよびXTMファイアウォールアプライアンスに影響する、さらに別の積極的に悪用されているWatchGuardの欠陥(CVE-2022-23176)について、米国政府機関にパッチ適用を命じた。 FireboxおよびXTMファイアウォールアプライアンスに影響するものだ。
WatchGuardは、世界中の25万社を超える中小企業のネットワークを保護するため、17,000社以上のサービスプロバイダーおよびセキュリティ再販業者と提携している。
