Масштабная брешь в Fireware OS: под угрозой 76 тысяч устройств по всему миру

Критическая уязвимость в операционной системе WatchGuard Fireware позволяет атакующим выполнять произвольный код на устройствах без предварительной авторизации. Проблема затрагивает VPN-сервисы, использующие протокол IKEv2, как для подключения мобильных пользователей, так и для организации защищённых соединений между филиалами, если на устройстве был настроен динамический шлюз.

Ошибка получила идентификатор CVE-2025-9242 и оценку 9.3 по шкале CVSS. Она присутствует сразу в нескольких ветках Fireware OS, включая версии 11.10.2–11.12.4_Update1, 12.0–12.11.3, а также выпуск 2025.1. Проблема заключается в отсутствии проверки длины буфера, куда копируются данные идентификации клиента. Это позволяет злоумышленнику переполнить стек и внедрить вредоносный код на этапе установления VPN-туннеля. Уязвимость находится в функции ike2_ProcessPayload_CERT и может быть задействована ещё до проверки сертификата, то есть без необходимости прохождения аутентификации.

По оценке специалистов WatchTowr Labs, данная ошибка представляет собой идеальную точку входа для операторов вымогательского ПО: уязвимость затрагивает сервис, доступный из интернета, не требует учётных данных и позволяет получить контроль над внешним сетевым устройством. Хотя в системе Fireware отсутствует полноценная оболочка вроде /bin/bash, исследователи доказали возможность захвата регистра инструкций и запуска интерактивного интерпретатора Python по TCP. Используя системный вызов mprotect(), можно обойти защиту NX bit и дальше развить атаку, добившись запуска полноценной оболочки Linux.

Эскалация доступа после запуска Python-оболочки предполагает ряд последовательных шагов: смену режима монтирования файловой системы на доступную для записи, загрузку исполняемого файла BusyBox и создание символьной ссылки /bin/sh, указывающей на этот файл. После этого атакующий получает полноценный доступ к системе через стандартную Linux-оболочку.

По данным сканирования The Shadowserver Foundation, в открытом доступе в интернете сейчас находится порядка 76 тысяч уязвимых устройств WatchGuard Firebox — текущие итерации обследований зафиксировали примерно 75 955 активных инстансов, подверженных CVE-2025-9242. Большинство обнаруженных точек находятся в Европе и Северной Америке: на первое место по числу уязвимых эндпоинтов выходит США — около 24,500 устройств, далее следуют Германия (примерно 7,300), Италия (6,800), Великобритания (5,400), Канада (4,100) и Франция (2,000). Представители Shadowserver отмечают, что такие показатели отражают реальные развёртывания, а не honeypot-ловушки.

Производитель устранил уязвимость в версиях 2025.1.1, 12.11.4, 12.3.1_Update3 (сертифицированная сборка FIPS), 12.5.13 (для моделей T15 и T35). Ветка 11.x больше не поддерживается. Ошибки на границе сети всегда привлекают внимание атакующих — особенно когда для их эксплуатации не нужны ни учётные данные, ни взаимодействие с пользователем.

Клиентам рекомендуется немедленно установить доступные обновления, а для организаций, которые используют только Branch Office VPN со статическими шлюзами, предложена временная инструкция по укреплению IPSec и IKEv2-соединений до применения патча. На момент публикации активных случаев эксплуатации CVE-2025-9242 не зафиксировано, однако администраторам, не установившим исправления, настоятельно рекомендуется сделать это как можно скорее.