TokyoBlackHatNews

bleepingcomputer.com 4分で読了

重大なRCEの欠陥が11万5,000台超のWatchGuardファイアウォールに影響

Image

オンラインで公開されている11万5,000台超のWatchGuard Fireboxデバイスが、攻撃で実際に悪用されている重大なリモートコード実行(RCE)脆弱性に対して未修正のままとなっています。

CVE-2025-14733として追跡されているこのセキュリティ上の欠陥は、Fireware OS 11.x以降(11.12.4_Update1を含む)、12.x以降(12.11.5を含む)、および2025.1から2025.1.3まで(2025.1.3を含む)を実行しているFireboxファイアウォールに影響します。

悪用に成功すると、認証不要の攻撃者が、ユーザー操作を必要としない低難易度の攻撃により、脆弱なデバイス上で任意のコードをリモートから実行できるようになります。

WatchGuardが木曜日のアドバイザリで説明したところによると、同社がCVE-2025-14733のセキュリティ更新を公開し、実環境で悪用されているとタグ付けした時点で、未修正のFireboxファイアウォールが攻撃に対して脆弱となるのは、IKEv2 VPN向けに設定されている場合に限られるとしています。また、脆弱な設定を削除しても、静的ゲートウェイのピアへのブランチオフィスVPN(BOVPN)がまだ設定されている場合、ファイアウォールが引き続きリスクにさらされる可能性があるとも警告しました。

「WatchGuard Fireware OSのikedプロセスには、OS ikedプロセスにおける境界外書き込みの脆弱性が含まれています」と、NVDのアドバイザリは説明しています。「この脆弱性により、リモートの認証不要の攻撃者が任意のコードを実行できる可能性があり、動的ゲートウェイのピアで構成されている場合、IKEv2を用いるモバイルユーザーVPNと、IKEv2を用いるブランチオフィスVPNの双方に影響します。」

WatchGuardは、顧客がネットワーク上で侵害されたFireboxアプライアンスを特定できるよう、侵害指標(IoC)を共有し、悪意ある活動の兆候が見つかった場合は、脆弱なファイアウォールにローカル保存されているすべてのシークレットをローテーションするよう助言しています。また、直ちに脆弱なデバイスへパッチを適用できないネットワーク防御担当者向けに、動的ピアのBOVPNを無効化し、新しいファイアウォールポリシーを追加し、VPNトラフィックを処理する既定のシステムポリシーを無効化することを求める一時的な回避策を提供しました。

土曜日、インターネットセキュリティ監視団体Shadowserverは、オンラインで公開された未修正のFireboxインスタンスが124,658件を超えることを確認し、日曜日時点でも117,490件が依然として公開されたままであるとしています。

Image
オンラインで公開されているWatchGuardファイアウォールのインスタンス(Shadowserver)

WatchGuardがパッチを公開した翌日、CISAはCVE-2025-14733を追加し、同脆弱性を既知の悪用されている脆弱性(KEV)カタログに掲載しました。

米国のサイバーセキュリティ機関はまた、拘束力のある運用指令(BOD)22-01に基づき、連邦文民行政機関(FCEB)(エネルギー省、財務省、国土安全保障省などの、行政部門の非軍事機関)に対し、12月26日までの1週間以内にFireboxファイアウォールへパッチを適用するよう命じました。

「この種の脆弱性は、悪意あるサイバーアクターにとって頻繁に用いられる攻撃ベクトルであり、連邦組織に重大なリスクをもたらします」とCISAは警告しました。「ベンダーの指示に従って緩和策を適用し、クラウドサービスについては該当するBOD 22-01のガイダンスに従うか、緩和策が利用できない場合は製品の使用を中止してください。」

9月には、WatchGuardがFireboxファイアウォールに影響するほぼ同一のRCE脆弱性(CVE-2025-9242)にパッチを適用しました。1か月後、ShadowserverはCVE-2025-9242の攻撃に脆弱なFireboxファイアウォールが75,000台を超えることを確認し、その多くは北米と欧州にありました。その後CISAは、このセキュリティ上の欠陥が実環境で積極的に悪用されているとタグ付けし、継続中の攻撃からFireboxアプライアンスを保護するよう連邦機関に命じました

2年前にもCISAは、FireboxおよびXTMファイアウォールアプライアンスに影響する、実際に悪用されている別のWatchGuardの欠陥(CVE-2022-23176)について、米国政府機関にパッチ適用を命じました(FireboxおよびXTMファイアウォールアプライアンスに影響)。

WatchGuardは、世界中の25万社を超える中小企業のネットワークを保護するために、17,000社を超えるセキュリティ再販業者およびサービスプロバイダーと協業しています。

翻訳元: https://www.bleepingcomputer.com/news/security/over-115-000-watchguard-firewalls-vulnerable-to-ongoing-rce-attacks/

ソース: bleepingcomputer.com
#Branch Office VPN(BOVPN) #CISA(KEVカタログ) #CVE-2025-14733 #Firebox #IKEv2 VPN #WatchGuard #ゼロデイ攻撃 #ファイアウォール #リモートコード実行(RCE) #未パッチ端末の露出

関連記事

MicrosoftのCoreutilsプロジェクト、LinuxコマンドをWindowsにネイティブ移植

OpenAI、GPT-5.5をアップグレード——レガシーモデルの廃止計画も発表

重大なKirki脆弱性、WordPress管理者アカウント乗っ取りに悪用