Când firewall-urile devin subiect principal: WatchGuard a eliberat patch-uri pentru a corecta o vulnerabilitate ce permite executarea de cod la distanță pe dispozitivele Firebox. Defectul, prezent în versiunile din familia Fireware OS, se manifestă printr-un scris în afara limitelor (out-of-bounds write) în procesul iked, ceea ce, practic, ar putea permite unui atacator remote să ruleze cod malițios pe echipamentele afectate.
Vulnerabilitatea, înregistrată ca CVE-2025-9242, este considerată critică și afectează firewall-urile cu Fireware OS 11.x (versiune deja EOL), 12.x și 2025.1. WatchGuard a publicat remedieri în versiunile 12.3.1_Update3 (B722811), 12.5.13, 12.11.4 și 2025.1.1. În esență, dacă administrați Firebox-uri, instalarea acestor versiuni este cea mai simplă rută spre securitate, sau cel puțin spre reducerea riscului.
Nu toate echipamentele sunt automat expuse: exploatarea necesită ca firewall-ul să fie configurat să folosească IKEv2 VPN. Totuși, compania avertizează că un dispozitiv poate rămâne vulnerabil chiar și după ștergerea anumitor configurații IKEv2, dacă există încă o conexiune BOVPN (Branch Office VPN) configurată către un peer static. Asta înseamnă că configurările vechi și setările rămase pot păstra deschise ușile către risc.
WatchGuard precizează că vulnerabilitatea stă în procesul iked din Fireware OS și poate permite unui atacator neautentificat să execute cod arbitrar. Afectează atât VPN-urile IKEv2 pentru utilizatori mobili, cât și conexiunile branch office configurate cu peer dinamic. Mesajul e clar: revizuiți configurațiile IKEv2, inclusiv pe cele folosite anterior, nu numai pe cele active în prezent.
Lista modelelor afectate include o gamă largă de Firebox-uri: seriile T15, T20, T25, T35, T40, T45, T55, T70, T80, T85, modele M270–M690, M440, M4600, M4800, M5600, M5800, Firebox Cloud, NV5, FireboxV și unități din seria T115–T185 pentru Fireware OS 2025.1.x. În practică, dacă dețineți un Firebox din familia curentă sau recentă, verificați exact modelul și versiunea firmware.
Pentru administratorii care nu pot aplica imediat patch-urile, WatchGuard a sugerat un workaround temporar pentru Firebox-urile cu BOVPN configurate către peer-uri statice. Pașii includ dezactivarea BOVPN-urilor cu peer dinamic, adăugarea unor noi politici de firewall și dezactivarea politicilor implicite care gestionează traficul VPN. Documentația de suport oferă instrucțiuni detaliate pentru securizarea BOVPN-urilor care utilizează IPSec și IKEv2. Nu e o soluție definitivă, dar poate oferi timp până la aplicarea update-ului oficial.
Deși până acum nu există dovezi că CVE-2025-9242 este exploatată activ în sălbăticie, recomandarea rămâne fermă: aplicați patch-urile. Firewalle-urile sunt ținte atractive pentru atacatori: grupuri precum Akira au exploatat recent vulnerabilități mai vechi, exemplu CVE-2024-40766, pentru a compromite firewall-uri SonicWall. Un caz similar a avut loc în aprilie 2022, când CISA a cerut agențiilor federale americane să aplice remedieri pentru un bug exploatat activ ce afecta dispozitive WatchGuard Firebox și XTM.
WatchGuard cooperează cu o rețea extinsă de peste 17.000 de revânzători și furnizori de servicii pentru a proteja rețelele a peste 250.000 de companii mici și mijlocii la nivel global. Asta înseamnă că impactul potențial al unei vulnerabilități critice nu este doar teoretic; poate afecta infrastructuri larg distribuite.
Detaliile cheie: CVE-2025-9242, versiunile remediate 12.3.1_Update3, 12.5.13, 12.11.4 și 2025.1.1, listele de modele T15–T185 și M270–M690, și posibilitatea temporară de a dezactiva BOVPN-urile dinamice sunt informații practice pe care administratorii trebuie să le urmărească. Urmăriți canalul oficial WatchGuard pentru ghiduri de implementare și documentație de suport. Cum intenționați să verificați și actualizați echipamentele Firebox din infrastructura voastră?
Fii primul care comentează