WatchGuard、ファイアウォールの「重大な」VPN脆弱性を修正 ― 侵害につながる可能性も

WatchGuardは、現行および旧型Fireboxファイアウォールシステムの約30機種に影響を及ぼす、危険な支社およびモバイルVPN設定の脆弱性に対して修正パッチを公開しました。

しかし、このアップデートには重要な注意点があります。脆弱なVPN設定をすでに使用していない場合でも、一部の顧客は依然としてリスクにさらされている可能性があります。

通常、脆弱性に関する話題は、その脆弱性自体の内容、攻撃者がそれを悪用した場合に達成できること、そしてパッチが提供される前に実際に悪用されているかどうかに集中します。

CVE-2025-9242の場合は、やや複雑です。良いニュースとしては、現時点で悪用の証拠はありませんが、できるだけ早くパッチを適用することが推奨されています。しかし、管理者の仕事は、システムが影響を受けているかどうかを判断することであり、場合によってはそれが思ったよりも難しいかもしれません。その他の環境では回避策を検討する必要がある場合もあります。

脆弱性の内容

製品のアドバイザリでは、この問題を「ikedの範囲外書き込み脆弱性」と説明しています。これにより、攻撃者がリモートで認証を回避し、不正侵入の一部としてリモートコード実行（RCE）が可能になります。

「iked」とはInternet Key Exchange v2（IKEv2）を指します。攻撃者がこの脆弱性を悪用する場合、細工した攻撃をVPNポートUDP 500またはUDP 4500を通じて脆弱なIKEデーモンに仕掛けます。CVE-2025-9242のCVSSスコアは9.3、つまり「重大」とされており、早急なパッチ適用が求められます。

影響を受けるのは誰か？

CVE-2025-9242の影響を受ける約30機種のファイアウォールモデル一覧は、WatchGuardのウェブサイトで確認できます。脆弱なFireware OSのバージョンは2025.1、12.x、12.5.x（T15 & T35モデル）、12.3.1（FIPS認証リリース）、および11.x（サポート終了）です。これらは（同じ順番で）2025.1.1、12.11.4、12.5.13、12.3.1_Update3（B722811）へのアップデートで対応されます。

すべての顧客がアップデートすべきですが、特に影響を受けるのは次のケースです。「この脆弱性は、IKEv2を使用するモバイルユーザーVPNおよびダイナミックゲートウェイピアで構成されたIKEv2を使用する支社VPNの両方に影響します」とアドバイザリは述べています。

しかし、同社は過去にこの方法でファイアウォールVPNを使用していたが、現在は使用していない顧客も影響を受ける可能性があると警告しています：

「Fireboxが以前、IKEv2を使用するモバイルユーザーVPNまたはダイナミックゲートウェイピアを使用する支社VPNで構成されており、それらの設定が削除された場合でも、スタティックゲートウェイピアへの支社VPNが引き続き構成されている場合、そのFireboxは依然として脆弱である可能性があります」とアドバイザリは指摘しています。

これは複雑に聞こえますが、なぜこのような事態が起こり得るのでしょうか？推測ですが、Fireware OSがIKEの設定を再起動後も永続的に保存しており、このデータが新しい設定にも影響を及ぼしている可能性があります。

支社VPNをスタティックゲートウェイピアとして構成しているが、運用上の理由ですぐにアップデートできない顧客向けには、ナレッジベース記事「IPSecおよびIKEv2を使用する支社VPNへの安全なアクセス」で回避策が案内されています。

ランサムウェアの標的

顧客はこのアップデートを真剣に受け止める必要があります。ファイアウォール、特にVPNは現在、脅威アクターによって常に標的にされており、セキュリティを最新に保つことがこれまで以上に重要です。今週だけでも、SonicWallは一部のファイアウォール顧客が使用するクラウドバックアップシステムを狙ったブルートフォース攻撃について警告を発しました。また先週、オーストラリアサイバーセキュリティセンターは、Akiraランサムウェア集団による攻撃試行の増加を確認し、同社のファイアウォールでSSL VPNを使用する際の古い脆弱性が標的になっていると発表しました。

2025年初頭には、FortinetのFortiGate次世代ファイアウォールの顧客に対し、脅威アクターによる設定情報とVPN認証情報の流出後、システムが侵害されていないか確認するよう警告が出されました。