WatchGuardは、同社のFireboxファイアウォールに存在する重大なリモートコード実行の欠陥が実際に攻撃を受けていることを確認し、緊急パッチ対応モードに入っています。
今週公開されたアドバイザリで、このネットワークセキュリティベンダーは、攻撃者がCVE-2025-32978(深刻度9.3)を悪用していると顧客に警告しました。この脆弱性はFireboxファイアウォールに影響します。このバグにより、未認証の攻撃者が任意のコマンドをリモートで実行でき、デバイスがインターネット経由で到達可能な場合、実質的にファイアウォールの制御が攻撃者に渡ってしまいます。
WatchGuardによると、このバグはFireware OSのInternet Key Exchange(IKE)サービスに存在し、認証なしでリモートから悪用して、脆弱なFireboxデバイス上で任意のコードを実行できます。同社は、この欠陥が実環境で積極的に悪用されているのを確認しており、顧客が侵害の有無を評価できるよう、侵害指標(IoC)を公開しました。
WatchGuardは木曜日のアドバイザリで、「この脆弱性は、IKEv2を用いたモバイルユーザーVPNと、動的ゲートウェイピアで構成されたIKEv2を用いる支社間VPNの両方に影響します」と述べました。「Fireboxが以前、IKEv2を用いたモバイルユーザーVPN、または動的ゲートウェイピアへのIKEv2を用いた支社間VPNで構成されており、その後これら両方の構成が削除されていたとしても、静的ゲートウェイピアへの支社間VPNがまだ構成されている場合、そのFireboxは依然として脆弱である可能性があります。」
直ちに行うべき対策は最新のファームウェア更新を適用することで、WatchGuardはこれにより脆弱性が完全に解消されるとしています。すぐにパッチを適用できない組織向けに、ベンダーは一時的な回避策を提供しています。
ファイアウォールやエッジアプライアンスが攻撃者に好まれる標的になっているのは、まさに企業ネットワークの境界に位置し、しばしば高い権限で動作しているためです。悪用が成功すると、単一のサーバーが侵害されるだけではありません。トラフィック、認証情報、VPN接続、下流のシステムへの可視性を得られる可能性があり、しかも多くの防御側が暗黙に信頼している装置の内部に潜み続けることができます。
ほんの数日前、Amazonは、2021年まで遡る長期にわたるスパイ活動キャンペーンを公表しました。これはロシアGRU関連の攻撃者が、WatchGuard FireboxおよびXTMアプライアンスにおける以前の重大な未認証RCEであるCVE-2022-26318を悪用し、露出した管理アクセス経由で任意のコードを実行していたものです。
その公表は、CISAが別の重大なWatchGuard Fireware OSの欠陥(CVE-2025-9242として追跡)を、実際の悪用報告を受けて既知の悪用されている脆弱性(KEV)カタログに追加してから、わずか数週間後のことでした。
WatchGuardは今回の悪用を特定の脅威アクターに結び付けてはいないものの、このパターンはすでに広く確立されています。ファイアウォールの脆弱性は急速に武器化され、大規模にスキャンされ、脆弱な設定と組み合わされて、組織の多くが対応する時間を確保できないうちにネットワーク侵害へとつながります。 ®
翻訳元: https://go.theregister.com/feed/www.theregister.com/2025/12/19/watchguard_firebox/
