WatchGuard Zero-Day Actively Exploited to Seize Control of Firewalls
2025/12/19 gbhackers — WatchGuard が公表したのは、Firebox ファイアウォール・アプライアンスに存在する深刻なゼロデイ脆弱性に関する緊急警告である。この脆弱性は、現時点において実際に悪用されている。この脆弱性 CVE-2025-14733 を悪用するリモートの攻撃者は、認証を必要とすることなく、影響を受けるデバイスを制御する可能性がある。この脆弱性は、IKEv2 VPN ネゴシエーションを処理する iked プロセス (iked.exe) に存在する、境界外書き込みの欠陥に起因する。
技術的な詳細と影響
この脆弱性は、以下のようにコンフィグされた Firebox アプライアンスに影響する。
- IKEv2 を使用するモバイル・ユーザー VPN
- IKEv2 とダイナミック・ゲートウェイを使用するブランチ・オフィス VPN
この脆弱性を悪用する攻撃者は、特別に細工したリクエストをファイアウォールに送信し、メモリ破損エラーを引き起こす可能性がある。
| Feature | Details |
|---|---|
| CVE ID | CVE-2025-14733 |
| Vulnerability Type | Out-of-bounds Write (iked process) |
| Impact | Critical (Remote Code Execution) |
| CVSS Score | 9.3 (Critical) |
この脆弱性の悪用に成功した攻撃者は、任意のコードを実行できる。それにより、悪意のコマンド実行/マルウェアのインストールに加えて、デバイス管理権限の完全な取得などの恐れが生じる。
WatchGuard が認めているのは、この脆弱性の悪用を、脅威アクターが積極的に試みている状況である。脆弱な VPN 設定が、以前に削除されていたとしても、ブランチ・オフィスの静的 VPN が設定された状態であれば、それらのデバイスは危険に直面している可能性がある。
管理者にとって必要なことは、ログにおける侵害の兆候の有無を速やかに確認することである。”iked” プロセスのクラッシュまたはハングは、攻撃の強力な兆候である。
さらに、”無効なピア証明書チェーン” または “異常に大きな IKE_AUTH リクエスト CERT ペイロード” (2000 バイト超) に関するログメッセージも重要な警戒サインである。
既知の悪意のあるアクティビティは、以下の IP アドレスで追跡されている。
- 45.95.19[.]50
- 51.15.17[.]89
- 172.93.107[.]67
- 199.247.7[.]82
すでに WatchGuard は、ソフトウェア・アップデートをリリースし、この問題を修正している。管理者にとって必要なことは、Fireware OS 2025.1.4/12.11.6/12.5.15 への速やかなアップグレードである。
デバイスが侵害された可能性がある場合には、パッチ適用後において、ローカルに保存されているすべてのシークレットをローテーション (更新) することが重要である。
この問題の原因は、VPN の接続リクエストを処理する、”iked” というプログラムの設計不備にあります。具体的には、IKEv2 という通信方式で接続のやり取りを行う際に、送られてきたデータがメモリ上の決められた範囲 (境界) を超えて書き込まれてしまうという、境界外書き込みの現象が発生します。本来であれば、受け取ったデータが安全なサイズかどうかを厳密にチェックすべきですが、その確認が不十分であることでメモリの内容が破壊されてしまいます。攻撃者はこの隙を突き、不正な命令を紛れ込ませることで、認証なしにデバイスを自由に操作できてしまいます。ご利用のチームは、ご注意ください。よろしければ、WatchGuard での検索結果も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.