WatchGuard的严重漏洞允许未认证攻击者执行任意代码

在WatchGuard的Firebox防火墙中发现了一个严重漏洞，这可能允许远程未认证的攻击者在受影响的设备上执行任意代码。

该漏洞编号为CVE-2025-9242，被评定为严重级别，CVSS评分为9.3分（满分10分）。WatchGuard在2025年9月17日发布的安全公告WGSA-2025-00015中披露了此问题，并且已经提供了修复该漏洞的补丁。

该漏洞是WatchGuard的Fireware操作系统中iked进程内的一个越界写入问题。此进程负责处理互联网密钥交换（IKE），这是一种用于建立安全VPN连接的协议。

攻击者无需任何身份验证即可利用此漏洞，向易受攻击的设备发送特制数据。

成功利用该漏洞可使威胁行为者执行任意代码，可能导致防火墙被完全攻陷，从而使其能够拦截网络流量、渗透到内部网络或破坏安全运营。

该漏洞的严重性体现在其较高的CVSS 4.0评分上，这表明它对保密性、完整性和可用性具有重大影响。

受影响的配置和版本

该漏洞专门影响运行特定版本Fireware OS的Firebox设备，这些设备配置了特定的VPN设置。主要受影响的配置包括使用IKEv2的移动用户VPN，以及使用IKEv2和动态网关对等体的分支机构VPN。

该公告还警告了一种特定的边缘情况：如果Firebox之前配置了这些易受攻击的VPN类型之一，那么即使这些配置后来已被删除，只要到静态网关对等体的分支机构VPN仍处于活动状态，它可能仍然容易受到攻击。

受影响的Fireware OS版本包括11.10.2至11.12.4_Update1、12.0至12.11.3以及最新的2025.1版本。

WatchGuard已发布Fireware OS的修补版本，以解决CVE-2025-9242漏洞。强烈建议管理员尽快将其设备升级到相应的修复版本。

推荐版本为2025.1.1、12.11.4、12.5.13（适用于T15和T35型号），以及用于FIPS认证版本的12.3.1_Update3。对于无法立即应用这些更新的组织，有一个临时解决方法可供使用。

这包括实施WatchGuard的安全最佳实践，以保护使用IPSec和IKEv2的分支机构VPN，特别是在配置了静态网关对等体的情况下。然而，应用官方补丁是全面降低这一严重漏洞所带来风险的最有效方法。