CISA KEV 警告 25/11/13:Firebox/Triofox/Windows の脆弱性をカタログに登録

U.S. CISA adds WatchGuard Firebox, Microsoft Windows, and Gladinet Triofox flaws to its Known Exploited Vulnerabilities catalog

2025/11/13 SecurityAffairs — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、WatchGuard Firebox/Microsoft Windows/Gladinet Triofox の脆弱性を Known Exploited Vulnerabilities (KEV) カタログに追加した。カタログに追加された脆弱性は以下のとおりである:

  • CVE-2025-9242 WatchGuard Firebox:境界外書き込みの脆弱性
  • CVE-2025-12480 Gladinet Triofox:不適切なアクセス制御脆弱性
  • CVE-2025-62215 Microsoft Windows:競合状態の脆弱性
  • 10月中旬に研究者たちが公開したのは、WatchGuard Firebox における深刻な脆弱性 CVE-2025-9242 (CVSS:9.3) の詳細である。この脆弱性の悪用に成功した未認証の攻撃者は、境界外書き込みを引き起こして任意のコード実行の可能性を得る。この脆弱性が影響を及ぼす範囲は、Fireware OS バージョン 11.10.2~11.12.4_Update1/12.0~12.11.3/2025.1 となる。

WatchGuard のアドバイザリには、「Fireware OS に存在する境界外書き込みの脆弱性により、未認証のリモートの攻撃者が任意のコードを実行する可能性がある。この脆弱性は、IKEv2 を使用するモバイルユーザーと動的ゲートウェイが設定された IKEv2 ブランチオフィス VPN に影響する。これらの VPN が無効化されても、静的ゲートウェイへのブランチ VPN が設定されている限り、デバイスは依然としてリスクにさらされると指摘している」と記されている。

WatchGuard の研究者によると、この脆弱性を悪用する未認証の攻撃者は、インターネットに公開された IKEv2 VPN サービスを標的とし、境界アプライアンス上で任意のコードを実行する可能性を持つという。

この脆弱性は、ランサムウェア攻撃者が求めるすべての条件を満たしているため、直ちにパッチ適用する必要がある。それらの条件は、境界デバイスでのリモートコード実行/公開 VPN サービス経由での露出/認証前の悪用可能性である。

  • 2件目の脆弱性 CVE-2025-12480 は、Gladinet Triofox の不適切なアクセス制御に起因するものだ。

Google Mandiant の研究者は、Triofox の脆弱性を悪用する脅威アクターを確認している。このプラットフォームのアンチウイルス機能の脆弱性を悪用する攻撃者は、認証をバイパスしてリモートアクセス・ツールをアップロード/実行できる。Triofox の脆弱性 CVE-2025-12480 を悪用し続ける脅威クラスター UNC6485 を、Mandiant は継続的に追跡している。

さらに、Mandiant は Google Security Operations を活用し、ユーザーの Triofox サーバ上における Plink ベースの RDP トンネリングおよび、一時ディレクトリへのファイル・ダウンロードを伴う不審なアクティビティを検出した。

今年になって悪用された Triofox の脆弱性には、CVE-2025-30406/CVE-2025-11371 があり、今回の CVE-2025-12480 は3件目となる。

今回のアップデートにより、セットアップ後のコンフィグ・ページへのアクセスはブロックされた。ただし、それ以前に脆弱性を悪用した未認証の攻撃者は、セットアップ・プロセスを通じて新しい管理者アカウント “Cluster Admin” を作成していたようだ。それにより、侵害されたシステム全体で、さらなる悪意のあるアクティビティを実行していたとされる。

  • 3件目の脆弱性は、Microsoft Windows の競合状態の脆弱性 CVE-2025-62215 (CVSS:7.0) である。Microsoft も、この脆弱性が活発に攻撃されていると警告している。

同社のアドバイザリには、「Windows カーネルにおいて、共有リソースを不適切に同期するコンカレント処理 (競合状態) が生じ、すでに権限を有する攻撃者が、ローカルでの権限を昇格する可能性がある。この脆弱性の悪用の前提として、攻撃者は競合状態に勝つ必要がある。悪用に成功した攻撃者は、SYSTEM 権限を取得する可能性がある」と記されている。

ーーーーー

拘束的運用指令 (BOD) 22-01:既知の脆弱性による深刻なリスクを軽減するために、FCEB 機関はカタログに掲載された脆弱性を定められた期限までに修正し、ネットワークを保護する必要がある。CISA は連邦政府機関に対して、2025年12月3日までに一連の脆弱性を修正するよう命じている。

専門家たちは民間組織に対しても、このカタログを確認し、自組織のインフラにおける脆弱性に対処することを推奨している。

CISA KEV に3つの脆弱性が登録されました。WatchGuard Firebox は IKEv2 VPN 周りの処理不備から境界外書き込みが起き、Triofox はアクセス制御やセットアップ手順の甘さを突かれて管理者アカウントまで作られてしまいます。Windows ではカーネルの競合状態という、並行処理まわりの細かな実装ミスが権限昇格につながっています。いずれの脆弱性も、米国の連邦政府内で悪用が確認されているものです。ご利用のチームは、ご注意ください。よろしければ、CISA KEV で検索も、お試しください。