TokyoBlackHatNews

esecurityplanet.com 5分で読了

125,000台のWatchGuardファイアウォールがリモート攻撃に脆弱

セキュリティ研究者は、12万5,000台を超えるWatchGuard Fireboxファイアウォール機器をリモート侵害にさらす重大なゼロデイ脆弱性を特定しました。

この欠陥はすでに実際の攻撃で悪用されており、攻撃者に未パッチの機器を乗っ取るための直接的な経路を与えています。

「脅威アクターは、複数ベンダーのエッジネットワーク機器および露出したインフラに対する、より広範な攻撃キャンペーンの一環としてこの脆弱性の悪用を試みています」と、WatchGuardは同社のアドバイザリで述べています

WatchGuard Firebox脆弱性の内側

CVE-2025-14733は、IKEv2 VPNの鍵交換のネゴシエーションを担うFireware OSコンポーネントであるikedプロセスにおける、境界外書き込み(out-of-bounds write)の脆弱性に起因します。 

IKEv2のネゴシエーション中、ファイアウォールは安全なトンネルを確立する過程で、攻撃者が制御可能な複数のフィールドを解析します。 

特定のペイロードデータを処理する際の境界チェックが不十分なため、細工されたリクエストによってプロセスが確保済みメモリ境界の外側にデータを書き込む可能性があります。

この種のメモリ破損の欠陥は、重要なメモリ構造を上書きできてしまい、最終的に特権コンテキストでの任意コード実行につながり得るため、セキュリティアプライアンスでは特に危険です。 

実際のところ、悪用に成功すると攻撃者はファイアウォール本体上で直接コマンドを実行できるようになります。

攻撃はネットワーク越しにリモートから実行でき、認証は不要で、ユーザー操作にも依存しません。したがって、インターネットにIKEv2 VPNサービスを公開しているFirebox機器は、いずれも有効な標的となります。 

この組み合わせにより、この欠陥は大規模なスキャンや自動化された悪用キャンペーンにとって特に魅力的です。

この脆弱性は、モバイルユーザー向けVPNアクセスにIKEv2を使用している環境、および動的ゲートウェイピアを用いた支社間VPNトンネルに特に影響します。 

これらの構成では、攻撃者は機器に悪意のあるIKEv2ネゴシエーショントラフィックを送信するだけで、脆弱なコードパスをトリガーできます。 

攻撃は認証が完了する前に発生するため、従来のアクセス制御では防げません。

WatchGuardは、特に危険な「ゾンビ構成(zombie configuration)」のリスクも強調しました。 

管理者がパッチ適用後に脆弱なIKEv2 VPN設定を削除または無効化しても、静的ゲートウェイピアを用いた支社間VPNトンネルが残っている場合、侵害済み機器が引き続き露出したままになる可能性があります。 

このような場合、以前に欠陥を悪用した攻撃者が、設定変更後も存続する永続性やアクセス経路を保持している可能性があります。その結果、部分的な是正は誤った安心感を与えかねません。

このインシデントは、よくあるパターンに沿っています。Shadowserver Foundationは、今年初めに別の重大な脆弱性に対して露出しているFirebox機器が75,000台以上あることを特定したと指摘しました。 

WatchGuard Fireboxのリスクを軽減する方法

効果的な対応には、即時のパッチ適用、設定の衛生管理、そしてリスク低減と侵入の可能性検知のための監視強化を組み合わせることが必要です。 

  • すべてのWatchGuard Firebox機器を直ちにアップグレードして、修正済みのFirewareバージョンを適用し、サポート終了(EOL)のファームウェアを実行しているアプライアンスは完全に置き換えてください。
  • 不要な場合はIKEv2 VPNサービスを制限または一時的に無効化し、可能な限りVPNアクセスを既知の信頼できるIP範囲に限定してください。
  • すべてのVPN構成を監査して、残存または間接的なIKEv2設定を特定してください。これには「ゾンビ」露出を生み得る静的な支社間トンネルも含まれます。
  • 侵害の兆候についてファイアウォールおよびVPNログを監視してください。証明書チェーンの異常、過大なIKE_AUTHペイロード、異常なネゴシエーション活動などが含まれます。
  • 悪用の試行に関連する既知の悪性IPアドレスを調査し、VPNトラフィック周辺のネットワークレベルの監視を強化してください。
  • 機器が侵害されている可能性を前提に、ローカルに保存された認証情報をローテーションし、パッチ適用後に構成を検証し、ファイアウォールの管理インターフェースをパブリックインターネットから隔離してください。

このリスクに効果的に対処するには、迅速な行動と一貫した運用規律が求められます。 

適時のパッチ適用に加え、慎重な設定レビューと継続的な監視を組み合わせることで、組織は露出を減らし、被害範囲(blast radius)を限定できます。 

境界セキュリティへの高まる脅威

このインシデントは、攻撃者の戦略がエッジインフラへと広範かつ継続的にシフトしていることを浮き彫りにしています。そこでは、適切な場所にある単一の脆弱性が、企業環境への即時かつ不釣り合いなアクセスを与え得ます。 

ファイアウォール、VPNゲートウェイ、リモートアクセス機器は、内部ネットワークとインターネットの境界に位置し、露出している一方で信頼もされています。 

これらのシステムが(パッチ適用の遅れや設定の乱立により)侵害されると、攻撃者は下流のセキュリティ制御を回避し、永続性を確立し、最小限の抵抗で横展開できます。

攻撃者によるエッジインフラへの注目の高まりは、暗黙の信頼のリスクを浮き彫りにしており、組織に従来のセキュリティモデルの再考を促しています。

翻訳元: https://www.esecurityplanet.com/threats/125000-watchguard-firewalls-vulnerable-to-remote-attacks/

ソース: esecurityplanet.com
#CVE-2025-14733 #Firebox #IKEv2 #VPN #WatchGuard #ゼロデイ脆弱性 #パッチ適用・緩和策 #リモートコード実行(RCE) #侵害・悪用(in the wild) #境界防御(エッジセキュリティ)

関連記事

Claude Code GitHub Actionsの脆弱性がサプライチェーン攻撃リスクを招いた問題

GoogleがAndroidのゼロデイ脆弱性にパッチを適用——実際の悪用が確認

偽のClaude Codeインストーラーが認証情報を盗むマルウェアを配布