TokyoBlackHatNews

meterpreter.org 4分で読了

境界侵害:重大なゼロデイCVE-2025-14733が悪用され、WatchGuardファイアウォールが乗っ取られる

Image

WatchGuardは、同社のFireboxファイアウォールに存在する重大な脆弱性について、すでに現実の攻撃で積極的に悪用されているとして顧客に警告しました。この欠陥はリモートコード実行(RCE)の脆弱性で、攻撃者が認証やユーザー操作なしにデバイスを掌握できるものです。同社は、できるだけ早くセキュリティ更新を適用するよう顧客に強く求めています。

この問題はCVE-2025-14733として追跡されており、幅広いFireware OSのバージョンに影響します。影響を受けるリリースには、11.12.4 Update1から始まる11.x系、12.11.5まで(12.11.5を含む)のすべての12.x系、さらに2025.1.3までの2025.1系が含まれます。この脆弱性は不適切なデータ処理に起因し、アウト・オブ・バウンズのメモリ書き込みを引き起こします。その結果、攻撃者は保護されていないデバイス上で任意のコードを実行するための直接的な経路を得ることになります。

悪用に複雑な条件は必要ありません。WatchGuardによれば、攻撃は低い複雑性で成立し、管理者やユーザーによる操作は不要で、脆弱なコンポーネントへの単純なネットワークアクセスだけで十分です。設定の詳細が特に重要で、FireboxデバイスがIKEv2ベースのVPNを使用している場合に脆弱になります。それでも、問題のある設定を削除しても、常にリスクが完全に解消されるとは限りません。

WatchGuardは、モバイルIKEv2 VPNや動的ピアを用いたサイト間トンネルを削除した後でも、露出が残る可能性があると具体的に指摘しています。IKEv2と静的ゲートウェイを使用する支社オフィスVPNが有効なままの場合、デバイスは依然として侵害され得ます。こうした残存設定は、危険な「安全であるかのような錯覚」を生み出す可能性があると同社は警告しています。

WatchGuardは、CVE-2025-14733が実環境で積極的に悪用されていることを確認したとしています。これは、この脆弱性がすでに攻撃者のツールキットに組み込まれていることを示しており、パッチ適用の遅れはネットワーク境界の全面的な侵害リスクを大幅に高めます。直ちに更新を展開できない組織向けに、WatchGuardは一時的な緩和策として、動的ピアを用いたサイト間VPNの無効化、補助的なファイアウォールルールの追加、VPNトラフィックを処理する既定のシステムポリシーの無効化などを提案しています。

影響を受けるデバイスの一覧は数十モデルに及びます。Fireware OS 12.5.x系ではT15とT35が脆弱です。2025.1.x系では、T115-W、T125、T125-W、T145、T145-W、T185がリスクのあるモデルに含まれます。最も広範な影響はFireware OS 12.x全体で見られ、T20やT25といったコンパクトモデルから、M270、M290、M370、M390、M470、M570、M590、M670、M690などの上位Mシリーズ、さらにM440、M4600、M4800、M5600、M5800といった大規模プラットフォームにまで及びます。仮想およびクラウドベースの製品も影響を受けており、Firebox Cloud、Firebox NV5、FireboxVが含まれます。

パッチの公開に加え、WatchGuardは管理者がデバイスがすでに標的となったかどうかを判断できるよう、侵害の指標(IOC)も公開しました。不審な活動が検出された場合、同社は、影響を受けるデバイスにローカル保存されているすべてのシークレット(鍵やパスワードを含む)を直ちにローテーションすることを推奨しています。

この事案は、同種の脆弱性が続く憂慮すべき傾向の一部に当てはまります。9月には、WatchGuardはCVE-2025-9242として追跡される、ほぼ同一のリモートコード実行の欠陥に対処しました。1か月以内に、Shadowserverの研究者は、主に北米と欧州で、攻撃にさらされた未パッチのFireboxデバイスが75,000台以上あることを特定しました。さらに数週間後、米国サイバーセキュリティ・インフラストラクチャ安全保障庁(CISA)は、この脆弱性を「積極的に悪用されている」と分類し、連邦機関全体に緊急の是正措置を義務付けました。

同様の状況は2年前にも発生しており、CISAは米国政府機関に対して、FireboxおよびXTMデバイスに影響する、積極的に悪用されていた別のWatchGuard脆弱性CVE-2022-23176への対処を求めました。歴史は繰り返しているように見え、今回のケースもまた、境界セキュリティ機器のパッチ適用の遅れがいかに危険であるかを改めて浮き彫りにしています。

現在、WatchGuardのソリューションは、世界中の25万社を超える中小企業のネットワークを保護しており、17,000社以上のサービスプロバイダーおよびリセラーからなるエコシステムに支えられています。この規模の展開により、こうした脆弱性はどれも特に重大になります。未パッチのデバイスが1台あるだけで、数千の企業ネットワークへの侵入口になり得るのです。

翻訳元: https://meterpreter.org/perimeter-breach-critical-zero-day-cve-2025-14733-exploited-to-hijack-watchguard-firewalls/

ソース: meterpreter.org
#CVE-2025-14733 #Firebox #Fireware OS #VPN(IKEv2) #WatchGuard #ゼロデイ #パッチ適用・緩和策 #ファイアウォール脆弱性 #リモートコード実行(RCE) #実際の攻撃で悪用

関連記事

Bitskrieg仮説:Secure BootとBitLockerバイパスという迫りくる脅威

制限解除の波紋:AnthropicがClaudeの緊急クォータ復元を実施

重大なセキュリティ欠陥、Apache LDAP APIの接続を危険にさらす