脅威アクターがWatchGuard Fireboxデバイスのゼロデイを悪用

出典：JUN LI（Alamyストックフォト経由）

WatchGuard Fireboxファイアウォールのゼロデイ脆弱性が現在積極的に悪用されており、今月のエッジデバイスに対する最新の攻撃となっています。

WatchGuardは木曜日、この脆弱性（CVE-2025-14733として追跡）を開示し、サイバーセキュリティ・インフラストラクチャ安全保障庁（CISA）は翌日、これを既知の悪用されている脆弱性（KEV）カタログに追加しました。CVE-2025-14733はWatchGuardのFireware OSにおける重大な境界外書き込み（out-of-bounds write）脆弱性で、悪用されるとFireboxデバイス上でリモートコード実行が可能になります。

CVE-2025-14733は、Fireware OSバージョン11.10.2（11.12.4_Update1を含む）、バージョン12.0以上、ならびにバージョン2025.1以上に影響します。WatchGuardのアドバイザリによると、この欠陥は、動的ゲートウェイピアで構成された場合のIKEv2を用いるモバイルユーザーVPNと、IKEv2を用いる拠点間（ブランチオフィス）VPNの両方に影響します。 

「Fireboxが以前、IKEv2を用いるモバイルユーザーVPN、または動的ゲートウェイピアに対するIKEv2を用いる拠点間VPNで構成されており、その後それら両方の構成が削除されていたとしても、静的ゲートウェイピアへの拠点間VPNがまだ構成されている場合、そのFireboxは依然として脆弱である可能性があります」とアドバイザリは述べています。 

WatchGuardは、今月脅威アクターに狙われた最新のエッジデバイスベンダーです。先週、CISAは重大なFortinet FortiGateの欠陥（CVE-2025-59718として追跡）を、脆弱性が発見された直後にKEVカタログへ追加しました。一方で、脅威アクターは先週、ゼロデイの権限昇格脆弱性の悪用を通じてSonicWallのSMA1000アプライアンスも標的にしました。 

WatchGuardのプロダクトマネージャーであるMatthew Terry氏は木曜日のブログ投稿で、この脆弱性は社内調査を通じて発見されたと述べ、顧客に対し可能な限り早急に修正パッチを適用するよう促しました。

「脅威アクターは、複数ベンダーのエッジネットワーク機器および公開されたインフラに対するより広範な攻撃キャンペーンの一環として、この脆弱性を悪用しようとしています」とTerry氏はブログ投稿に記しました。「したがって、所有または管理しているあらゆるFireboxアプライアンスを直ちにアップグレードするよう強く推奨します。」

Dark Readingは悪用活動に関して追加コメントを求めてWatchGuardに連絡しましたが、締め切り時点までに同社からの回答はありませんでした。

攻撃にさらされるFireboxデバイス

WatchGuardは、「脅威アクターが現実環境（wild）でこの脆弱性を積極的に悪用しようとしていることを確認した」とし、4つのIPアドレスを含む侵害指標（IoC）をアドバイザリに掲載しました。 

アドバイザリは、「これらのIPへのアウトバウンド接続は、侵害の強い指標です。これらのIPからのインバウンド接続は、偵察活動または悪用の試行を示している可能性があります」と述べています。

CVE-2025-14733はFireware OSのIKEDプロセス（Internet Key Exchange Daemon）に影響するため、WatchGuardは顧客に対し、このプロセスに関する異常な活動がないかデバイスを確認するよう促しました。「悪用が成功すると、IKEDプロセス（IKEネゴシエーションの処理を担当）がハングし、VPNトンネルのネゴシエーションおよび再キー（re-key）が中断されます」とアドバイザリは述べています。「これは攻撃の強い指標です。既存のトンネルはトラフィックを通し続ける場合があります。」

パッチ適用の代替として、WatchGuardは、静的ゲートウェイピアへの拠点間VPNトンネルのみが構成されているFireboxデバイスの顧客向けに一時的な回避策を提示しました。 

日曜日、Shadowserver Foundationは、スキャンの結果、世界中で脆弱なFireboxデバイスに対応するIPアドレスが約12万5,000件見つかったと発表し、そのうち3万5,000件超が米国に所在しているとしました。