CVE-2025-9242

WatchGuard Firebox

ВЫСОКАЯ ВЕРОЯТНОСТЬ

Дата обнаружения

2025-11-12

Официальное описание

WatchGuard Firebox contains an out-of-bounds write vulnerability in the OS iked process that may allow a remote unauthenticated attacker to execute arbitrary code.

🛡️

Технический анализ и план устранения

Суть уязвимости

Уязвимость CVE-2025-9242 представляет собой ошибку записи за пределами выделенного буфера (out-of-bounds write) в процессе iked (IKE daemon) операционной системы Fireware OS на устройствах WatchGuard Firebox. Процесс iked отвечает за обработку соединений IPsec VPN, включая обмен ключами по протоколам IKEv1 и IKEv2. Из-за некорректной обработки входящих пакетов удаленный неаутентифицированный злоумышленник может отправить специально сформированный запрос на внешний интерфейс устройства. Это вызывает повреждение памяти процесса, что позволяет атакующему выполнить произвольный код (RCE) с системными привилегиями и получить полный контроль над межсетевым экраном.

Как исправить

Единственным гарантированным способом устранения уязвимости является обновление операционной системы Fireware OS до версии, содержащей исправление от производителя. - Создайте полную резервную копию текущей конфигурации (Backup Image) перед проведением любых работ. - Авторизуйтесь в Fireware Web UI под учетной записью администратора. - Перейдите в раздел System -> Upgrade OS. - Скачайте и установите пропатченную версию Fireware OS, указанную в официальном бюллетене безопасности WatchGuard для вашей аппаратной платформы. - Дождитесь завершения процесса установки и автоматической перезагрузки устройства. - Для проверки текущей версии прошивки через интерфейс командной строки (CLI) используйте следующую команду:

show sysinfo

Временные меры

Если немедленное обновление прошивки невозможно по техническим или бизнес-причинам, примените следующие компенсирующие меры для снижения риска эксплуатации: - Если функционал IPsec VPN (Branch Office VPN или Mobile VPN with IKEv2/IPsec) не используется в вашей инфраструктуре, полностью отключите его в настройках устройства. - Если IPsec VPN необходим для связи между филиалами (Site-to-Site), ограничьте доступ к портам IKE (UDP 500) и NAT-T (UDP 4500) на внешнем интерфейсе. Создайте политики (Firewall Policies), разрешающие входящие подключения на эти порты строго с доверенных статических IP-адресов ваших партнеров или филиалов. - Временно отключите клиентский Mobile VPN with IKEv2/IPsec, переведя удаленных пользователей на альтернативные методы подключения (например, SSL VPN), которые не затрагивают уязвимый процесс iked. - Настройте усиленный мониторинг в WatchGuard Dimension или вашей SIEM-системе для отслеживания аномального трафика на портах UDP 500/4500 и неожиданных перезапусков процесса iked. - Для аудита текущих активных туннелей и проверки статуса IPsec через CLI используйте команду:

show vpn ipsec

Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.

← Вернуться к списку уязвимостей