Krytyczna podatność typu Out-of-bounds Write w systemie WatchGuard Fireware OS umożliwia zdalnemu, nieuwierzytelnionemu atakującemu wykonanie dowolnego kodu na urządzeniu. Luka jest aktywnie wykorzystywana w atakach i dotyczy komponentów VPN opartych na IKEv2.
▸ Pokaż oryginał (EN)
An Out-of-bounds Write vulnerability in WatchGuard Fireware OS may allow a remote unauthenticated attacker to execute arbitrary code. This vulnerability affects both the Mobile User VPN with IKEv2 and the Branch Office VPN using IKEv2 when configured with a dynamic gateway peer.This vulnerability affects Fireware OS 11.10.2 up to and including 11.12.4_Update1, 12.0 up to and including 12.11.3 and 2025.1.
Błąd zapisu poza granicami bufora (CWE-787) występuje w obsłudze protokołu IKEv2, który jest używany zarówno przez Mobile User VPN, jak i Branch Office VPN skonfigurowany z dynamicznym peerem bramy. Atakujący może wysłać specjalnie spreparowany pakiet IKEv2 do urządzenia bez żadnego uwierzytelnienia, co prowadzi do nadpisania pamięci poza przeznaczonym buforem. Skutkiem jest możliwość przejęcia kontroli nad przepływem wykonania kodu w systemie operacyjnym Fireware.
Atakujący może zdalnie wykonać dowolny kod (RCE) z uprawnieniami systemu na podatnym urządzeniu WatchGuard Firebox, co prowadzi do pełnego przejęcia kontroli nad urządzeniem, w tym nad ruchem sieciowym przez nie przechodzącym.
Należy zastosować patche dostępne u producenta zgodnie z referencjami (advisory WatchGuard WGSA-2025-00015 pod adresem watchguard.com/wgrd-psirt/advisory/wgsa-2025-00015). Ze względu na aktywne wykorzystywanie podatności w atakach oraz dostępność publicznego exploita, aktualizacja powinna zostać wdrożona natychmiastowo. Jeśli natychmiastowa aktualizacja jest niemożliwa, należy rozważyć wyłączenie lub ograniczenie dostępu do funkcji IKEv2 VPN od strony sieci zewnętrznej.
WatchGuard Firebox T70, M440, M370, M690, M470 z systemem Fireware OS w wersjach: 11.10.2 do 11.12.4_Update1 włącznie, 12.0 do 12.11.3 włącznie oraz 2025.1
Publicznie dostępny jest kod exploita opublikowany przez watchTowr Labs w repozytorium GitHub (watchtowrlabs/watchTowr-vs-WatchGuard-CVE-2025-9242). Podatność figuruje w katalogu CISA Known Exploited Vulnerabilities.
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:XWatchguard Fireboxcloud
HWWatchguardwszystkie wersjeWatchguard Firebox M270
HWWatchguardwszystkie wersjeWatchguard Firebox M290
HWWatchguardwszystkie wersjeWatchguard Firebox M370
HWWatchguardwszystkie wersjeWatchguard Firebox M390
HWWatchguardwszystkie wersjeWatchguard Firebox M440
HWWatchguardwszystkie wersjeWatchguard Firebox M4600
HWWatchguardwszystkie wersjeWatchguard Firebox M470
HWWatchguardwszystkie wersjeWatchguard Firebox M4800
HWWatchguardwszystkie wersjeWatchguard Firebox M5600
HWWatchguardwszystkie wersjeWatchguard Firebox M570
HWWatchguardwszystkie wersjeWatchguard Firebox M5800
HWWatchguardwszystkie wersjeWatchguard Firebox M590
HWWatchguardwszystkie wersjeWatchguard Firebox M670
HWWatchguardwszystkie wersjeWatchguard Firebox M690
HWWatchguardwszystkie wersjeWatchguard Firebox Nv5
HWWatchguardwszystkie wersjeWatchguard Firebox T115 W
HWWatchguardwszystkie wersjeWatchguard Firebox T125
HWWatchguardwszystkie wersjeWatchguard Firebox T125 W
HWWatchguardwszystkie wersjeWatchguard Firebox T145
HWWatchguardwszystkie wersjeWatchguard Firebox T145 W
HWWatchguardwszystkie wersjeWatchguard Firebox T15
HWWatchguardwszystkie wersjeWatchguard Firebox T185
HWWatchguardwszystkie wersjeWatchguard Firebox T20
HWWatchguardwszystkie wersjeWatchguard Firebox T25
HWWatchguardwszystkie wersjeWatchguard Firebox T35
HWWatchguardwszystkie wersjeWatchguard Firebox T40
HWWatchguardwszystkie wersjeWatchguard Firebox T45
HWWatchguardwszystkie wersjeWatchguard Firebox T55
HWWatchguardwszystkie wersjeWatchguard Firebox T70
HWWatchguardwszystkie wersje
CISA KEV — szczegółyi
- Dostawcai
- WatchGuard
- Produkti
- Firebox
- Data dodania do KEVi
- 12 listopada 2025
- Termin remediation (USA)i
- 3 grudnia 2025(po terminie)
Zastosuj mitygacje zgodnie z instrukcjami producenta, postępuj zgodnie z wytycznymi BOD 22-01 dla usług chmurowych lub zaprzestań używania produktu, jeśli mitygacje są niedostępne.
▸ Pokaż oryginał (EN)
Apply mitigations per vendor instructions, follow applicable BOD 22-01 guidance for cloud services, or discontinue use of the product if mitigations are unavailable.
Zapora ogniowa WatchGuard Firebox zawiera lukę out-of-bounds write w procesie OS iked, która może pozwolić zdalnym nieuwierzytelnionym atakującym na wykonanie dowolnego kodu.
▸ Pokaż oryginał (EN)
WatchGuard Firebox contains an out-of-bounds write vulnerability in the OS iked process that may allow a remote unauthenticated attacker to execute arbitrary code.
Powiązane podatności
RCE bez uwierzytelnienia w WatchGuard Fireware OS – podatność IKEv2 VPN
On WatchGuard Firebox and XTM appliances, an unauthenticated user can execute arbitrary code, aka FBX-22786. T...
An integer overflow in WatchGuard Firebox and XTM appliances allows an unauthenticated remote attacker to trig...
WatchGuard Firebox and XTM appliances allow an unauthenticated remote attacker to delete arbitrary files from ...
WatchGuard Firebox and XTM appliances allow a remote attacker with unprivileged credentials to access the syst...