TokyoBlackHatNews

databreachtoday.com 4分で読了

WatchGuard、現在悪用されているファイアウォールのゼロデイを修正

WatchGuard Fixes Firewall Zero-Day Being Actively Exploited

攻撃者は、WatchGuard Fireboxファイアウォールに存在するゼロデイ脆弱性を悪用し、リモートでコードを実行しようと積極的に試みている。欠陥を修正するパッチが提供されている。

「WatchGuardは、脅威アクターがこの脆弱性を実環境で積極的に悪用しようとしていることを確認しています」と、木曜日に公開され金曜日に更新されたベンダーのセキュリティアラートは述べている

CVSSスコア9.3の重大な欠陥で、CVE-2025-14733として追跡されている。

The Shadowserver Foundationが土曜日に実施したインターネットスキャンでは、未パッチのデバイスが約125,000台記録され、そのうち最多の38,300台が米国のIPアドレスに紐づき、次いでドイツが14,000台、イタリアが12,300台だった。日曜日までに、脆弱なデバイスの総数は6%減少し、117,490台となった。

シアトルに拠点を置くWatchGuardは、同社のデバイスが世界中の25万以上の中小企業、学校および政府機関で利用され、1,000万超のエンドポイントを含むデジタル資産の保護に用いられていると述べている

この脆弱性がもたらすリスクは深刻であり、その一因は、これらのデバイスがしばしば保護を任される対象にある。「Fireware OSを実行するWatchGuardアプライアンスは単なるファイアウォールではない。VPNコンセントレーター、ポリシー強制エンジン、侵入防止システムであり、多くの場合、組織全体にとって最初で最後の防衛線でもある」と、脅威インテリジェンス企業watchTowrは述べた

こうしたエッジデバイスは、国家支援のサイバー諜報チームからサイバー犯罪シンジケート(ランサムウェア運用を含む)に至るまで、あらゆるタイプのハッカーにとって、繰り返し狙われる主要ターゲットでもある(参照: Verizon、エッジデバイスに関連する侵害の急増を報告)。

WatchGuardは木曜日、欠陥を修正するためにFireware OSのバージョン2025.1.4、12.11.6、12.5.15、12.3.1_Update4(B728352)をリリースした。Fireware OS 11.xにも脆弱性は存在するが、同ベンダーはすでにサポート対象外であり更新は提供しないと述べた。

米国サイバーセキュリティ・インフラストラクチャ安全保障庁(CISA)は金曜日、CVE-2025-14733を既知の悪用済み脆弱性(Known Exploited Vulnerabilities)カタログに追加し、連邦政府の民間機関に対して、この金曜日までに当該欠陥のパッチ適用および緩和策の実施、または脆弱な製品の使用中止を求める期限を設定した。

不審な活動を発見した組織は、欠陥を完全に緩和し、攻撃者が依然としてデバイスへの完全なリモートアクセスを享受していないことを確実にするため、単にパッチを適用する以上の対応が必要となる。

WatchGuardは、「修正を含む最新のFireware OSをインストールすることに加え、Fireboxアプライアンス上で脅威アクターの活動を確認した管理者は、脆弱なFireboxアプライアンスにローカル保存されているすべてのシークレットをローテーションするための予防措置を講じなければならない」と述べ、実施方法に関する詳細な手順を公開したと付け加えた。

CVE-2025-14733は、WatchGuard Fireware OSのiked(インターネット鍵交換デーモン)プロセスにおける境界外書き込み(out-of-bounds write)の脆弱性であり、相互認証を実行し、IPSecフローおよびセキュリティアソシエーションを確立・維持する。境界外書き込みの脆弱性は、攻撃者がメモリ上の意図したバッファの先頭より前、または末尾を超えてデータを書き込める場合に存在し、リモートコード実行、データ破損、またはシステムクラッシュを引き起こし得る。

WatchGuardは、「この脆弱性は、IKEv2を用いるモバイルユーザーVPNと、動的ゲートウェイピアとして設定されたIKEv2を用いる拠点間(Branch Office)VPNの両方に影響する」と述べた。

同社は、「Fireboxが以前、IKEv2を用いるモバイルユーザーVPN、または動的ゲートウェイピアへのIKEv2を用いる拠点間VPNとして設定されており、その両方の設定がその後削除されていたとしても、静的ゲートウェイピアへの拠点間VPNがまだ設定されている場合、そのFireboxは依然として脆弱である可能性がある」と述べた。

ベンダーは「攻撃の指標(indicators of attack)」として複数のIPアドレスを公開している。これらからのインバウンド接続は偵察または悪用の試みを示している可能性があり、アウトバウンド接続はいずれも「侵害の強い指標」と見なすべきだという。

もう一つの強い指標は、IKEネゴシエーションを処理するIKEDプロセスが突然ハングし、「VPNトンネルのネゴシエーションと再鍵交換(re-key)を中断する」場合だと述べた。

翻訳元: https://www.databreachtoday.com/watchguard-fixes-firewall-zero-day-being-actively-exploited-a-30364

ソース: databreachtoday.com
#CVE-2025-14733 #Firebox #Fireware OS #IKEv2 #WatchGuard #ゼロデイ脆弱性 #パッチ適用 #ファイアウォール #リモートコード実行 #既知の悪用脆弱性(KEV)

関連記事

Microsoftがランタイムセキュリティを強化

Google、防衛産業に対する「容赦ない」サイバー攻撃について警告

請求サービス企業が医療検査機関の患者にハッキング被害を通知