Обновление или взлом: Firebox требует немедленной установки исправлений

leer en español

WatchGuard Firebox Fireware OS VPN IKEv2 CVE-2025-9242 уязвимость
Обновление или взлом: Firebox требует немедленной установки исправлений
WatchGuard Firebox Fireware OS VPN IKEv2 CVE-2025-9242 уязвимость

Каждая минута промедления превращается в неконтролируемый риск.

image

Компания WatchGuard сообщила о критической уязвимости в межсетевых экранах Firebox, которая позволяет удалённое выполнение произвольного кода. Проблема получила идентификатор CVE-2025-9242 и вызвана ошибкой записи за пределы буфера в процессе iked операционной системы Fireware. Для успешной атаки достаточно, чтобы устройство было настроено на использование VPN по протоколу IKEv2. При этом риск сохраняется даже после удаления уязвимых конфигураций, если на устройстве остался туннель BOVPN, подключённый к статическому шлюзу.

Под угрозой оказались устройства с Fireware OS версий 11.x (снята с поддержки), 12.x и 2025.1. Производитель выпустил исправления в сборках 12.3.1_Update3 (B722811), 12.5.13, 12.11.4 и 2025.1.1. уязвимость затрагивает широкий спектр моделей: от компактных T15, T20, T25, T35, T40 и T55 до более мощных M-серий (M270, M370, M470, M670, M5800 и др.), а также облачные решения Firebox Cloud, FireboxV и NV5. В линейке 2025.1.x подвержены T115-W, T125, T125-W, T145, T145-W и T185.

Компания уточнила, что уязвимость может быть использована как против мобильного VPN-подключения на основе IKEv2, так и против офисных туннелей между филиалами. Даже если администраторы удалили конфигурацию динамического пира, устройства могут оставаться уязвимыми при сохранении статического подключения.

Для тех, кто не может оперативно установить обновления, предлагается временное решение: отключить динамические пиры BOVPN, создать новые правила фильтрации и отключить системные политики по умолчанию для обработки VPN-трафика. Подробные инструкции опубликованы в документации поддержки WatchGuard.

Хотя на данный момент данных о целевых атаках через CVE-2025-9242 нет, специалисты предупреждают, что подобные устройства представляют особый интерес для злоумышленников. В качестве примера приводится активное использование группировкой Akira уязвимости CVE-2024-40766 для компрометации межсетевых экранов SonicWall. Ранее, в 2022 году, Агентство по кибербезопасности и инфраструктурной безопасности США (CISA) уже обязывало федеральные агентства закрыть другую активно эксплуатируемую брешь в Firebox и XTM.

WatchGuard работает через сеть из более чем 17 тысяч реселлеров и провайдеров услуг, защищая свыше 250 тысяч малых и средних компаний по всему миру. Производитель призывает администраторов немедленно обновить устройства, чтобы исключить риск эксплуатации уязвимости.