WatchGuard VPN の脆弱性 CVE-2025-9242 が FIX：RCE の可能性と PoC の提供

WatchGuard VPN Flaw Allows Remote Attackers to Execute Arbitrary Code

2025/10/17 gbhackers — WatchGuard Firebox アプライアンスに深刻なセキュリティ脆弱性が発見された。この脆弱性を悪用するリモートの攻撃者は、認証を必要とすることなく、任意のコード実行の可能性を得る。この脆弱性 CVE-2025-9242 (CVSS 4.0：9.3) が影響を及ぼす範囲は IKEv2 VPN サービスであり、それらのセキュリティ・デバイスを使用する組織に重大な脅威を引き起こす。

脆弱性の詳細

この脆弱性は、Fireware OS の iked プロセスにおける境界外書き込みの欠陥に起因する。この脆弱性の影響が顕著なのは、IKEv2 を使用するモバイル・ユーザー VPN、または、ダイナミック・ゲートウェイ・ピアのブランチ・オフィス VPN コンフィグを使用する組織である。

セキュリティ研究者たちが発見したのは、この脆弱性がスタックバッファ・オーバーフローに起因することだった。1990年代後半によく見られたセキュリティ上の欠陥の一種だが、現代のエンタープライズ・システムに存在する場合も、危険な状況を引き起こすものである。

CVE	Impact	CVSS Score
CVE-2025-9242	Critical	9.3

この脆弱性は、IKEv2 認証プロセスにおけるシステムの識別データの処理プロセスに存在する。クライアントが VPN サービスに接続すると、システムは識別情報をスタック上の固定サイズ・バッファにコピーする。

しかし、この問題のあるバージョンでは、識別情報をコピーする前のデータ長が適切に検証されない。この欠陥を突く攻撃者は、意図的にバッファをオーバーフローさせ、保存されたレジスタ値や戻りアドレスなどの重要なメモリ領域を上書きできる。

この脆弱性が特に懸念されるのは、未認証のリモート攻撃者による悪用が可能な点であり、特別に細工した IKEv2 パケットを VPN サービスに送信することで、脆弱なコードパスに到達できる。通常の VPN サービスは UDP ポート 500 で動作することが多く、また、インターネットに公開されていることが多い。

watchTowr Labs のセキュリティ研究者が実証したのは、過大な識別データの送信によりスタックを破壊し、プログラムの実行フローをハイジャックできることだ。

この悪用プロセスは２段階に分かれている。１つ目のステップで攻撃者は、IKE_SA_INIT パケットを送信して暗号パラメータをネゴシエートする。２つ目のステップで、悪意のペイロードを含む IKE_SA_AUTH パケットを送信する。

具体的に言うと、識別バッファを 520 バイトを超えるように細工する攻撃者は、重要な CPU レジスタを制御し、実行フローを悪意のコードにリダイレクトできる。

研究者たちは、ROP (return-oriented programming) 技術を用いてセキュリティ保護を回避し、ルート権限でリモート・コード実行を実現する、完全なエクスプロイト・チェーンを開発した。

この脆弱性が影響を及ぼす範囲は、Fireware OS のバージョン 11.10.2〜11.12.4_Update1／12.0〜12.11.3／2025.1 を実行している WatchGuard Firebox モデルとなる。WatchGuard によると、世界中の 25 万以上の組織と、1,000 万以上のセキュア・エンドポイントを保護しているという。

すでに WatchGuard はパッチをリリースし、この問題に対処している。ユーザー組織にとって必要なことは、Fireware OS バージョン 2025.1.1／12.x シリーズ用の 12.11.4／T15 T35 用の 12.5.13／FIPS 認定リリース用の 12.3.1_Update3 へと、速やかにアップグレードすることだ。

なお、迅速なアップグレードが不可能な組織に対して WatchGuard が推奨するのは、スタティック・ゲートウェイ・ピアでコンフィグされた、ブランチ・オフィスの VPN トンネルに対して回避策を実装することだ。ただし、最も効果的な保護策は、可能な限り速やかに、セキュリティ・パッチを適用することである。

この脆弱性はセキュリティ研究者の btaol により発見され、watchTowr Labs により詳細な技術分析と検出ツールが公開されている。それらを活用する組織は、脆弱なシステムの特定／保護が容易になるという。

この脆弱性の深刻度は高く、未認証のリモート攻撃者による悪用が可能である。したがって WatchGuard ユーザーは、このアップデートを緊急の優先事項として扱う必要がある。

WatchGuard Firebox の脆弱性は、IKEv2 の識別データを固定長スタックバッファへコピーする際の長さ検証不足によるスタックバッファ・オーバーフローに起因します。UDP 500 で公開されることが多い VPN サービスは露出しやすいため、攻撃を受けやすくなっていると、この記事は指摘しています。ご利用のチームは、ご注意ください。よろしければ、VPN で検索も、ご参照ください。