「脅威アクターは現実の環境でこの脆弱性を積極的に悪用しようとしている」とベンダーが警告。
WatchGuardは、脅威アクターによって悪用されている重大評価の脆弱性を発見したことを受け、同社のFireboxファイアウォールアプライアンス向けに緊急のパッチ適用アラートを発出した。
CVE-2025-14733として追跡され、CVSSスコアは9.3。この欠陥は、IPSec VPNにおけるIKEv2の鍵交換を担うWatchGuard Fireware OSコンポーネントであるikedプロセスに影響する、アウト・オブ・バウンズ書き込み(Out-of-bounds Write)の脆弱性だ。
WatchGuardのアドバイザリによると、この弱点により「リモートの未認証攻撃者が任意のコードを実行できる」可能性があり、ログインせずにリモートコード実行(RCE)でアプライアンスを制御できてしまうという。
WatchGuardが12月18日にパッチを提供する前から攻撃を受けていたため、CVE-2025-14733は正真正銘のゼロデイ脆弱性となる。したがって管理者がまず行うべきは、Fireboxアプライアンスに現在または最近の侵害の兆候がないか確認することだ。
WatchGuardのアドバイザリは、悪用に関連する4つのIPアドレスを挙げている。これらへのアウトバウンド通信は「侵害の強い指標」であり、これらからのインバウンド接続は「偵察活動または悪用の試みを示す可能性がある」としている。ログが有効であれば、他の強い指標として、2,000バイトを超える異常に大きなCERTペイロードを伴うIKE_AUTHリクエストのログメッセージ、またはikedプロセスのハングの証拠が挙げられると同社は述べた。
影響を受けるFireware OSのバージョンは、2025.1から2025.1.3まで、12.0から12.11.5まで、そしてレガシーの11.10.2から11.12.4_Update1まで。
修正済みバージョンは、2025.1.4、12.11.6、12.5.15(T15およびT35モデル)、およびFIPS認証リリース向けの12.3.1_Update4(B728352)だ。サポート終了と見なされている11.xには修正はない。
重要なのは、WatchGuardが「パッチ適用だけでは不十分な場合がある」と警告している点だ。「以前に、IKEv2を用いたモバイルユーザーVPN、または動的ゲートウェイピアに対するIKEv2を用いた拠点間VPNがFireboxに設定され、その両方の設定がその後削除されていたとしても、静的ゲートウェイピアに対する拠点間VPNがまだ設定されている場合、そのFireboxは依然として脆弱である可能性がある」という。
さらに、パッチ適用後に追加作業が必要な管理者もいると同社は述べ、「修正を含む最新のFireware OSをインストールすることに加え、Fireboxアプライアンス上で脅威アクターの活動を確認した管理者は、脆弱なFireboxアプライアンスにローカル保存されているすべてのシークレットをローテーションするための予防措置を講じなければならない」と指摘している。
デジャヴ
9月、WatchGuardは同様のFireboxの脆弱性(CVE-2025-9242)にパッチを適用した。これもikedのVPN設定に影響し、CVSSスコアは9.3とされた。当時、WatchGuardは活発な悪用の報告はないとしていたが、10月には悪用の試みが検出されたことを受け、同社はこの評価を改訂した。
これは、この種のインフラに関する初期の脆弱性評価を過度に楽観的に受け取らないようにという注意喚起だ。欠陥が公表された後に悪用が検出されることは少なくない。ファイアウォールとVPNはサイバー犯罪者にとって主要な標的であり、そこに存在する重大な脆弱性はどれも、差し迫った明白なサイバーセキュリティリスクを意味する。
残念ながら、証拠は一部のWatchGuard顧客が脆弱性に対して本来あるべきほど迅速にパッチを適用していないことを示している。10月には、The Shadowserver Foundationによるスキャンで、CVE-2025-9242に未だパッチが適用されていないFireboxアプライアンスが71,000台超見つかり、そのうち23,000台は米国にあった。ゼロデイであるにもかかわらず、CVE-2025-14733でも同様の状況になる可能性が高い。
