WatchGuard Firebox の脆弱性 CVE-2025-14733:大規模な悪用試行を観測

125,000 IPs WatchGuard Firebox Devices Exposed to Internet Vulnerable to 0-day RCE Attacks

2025/12/22 CyberSecurityNews — 深刻な脆弱性 CVE-2025-14733 の悪用試行により、世界中の約 125,000 台の WatchGuard Firebox ファイアウォール・デバイスが危険にさらされていることを、Shadowserver Foundation が確認した。この脆弱性を悪用する未認証のリモート攻撃者は、パッチ未適用のデバイスにおいて、特別な前提条件なしに任意のコードを実行できる。この脆弱性は、WatchGuard Fireware OS の IKEv2 VPN 鍵交換プロセスに存在する、境界外書き込みに起因する。

この脆弱性の CVSS スコアは 9.8 である。高い深刻度と評価されている背景には、ユーザーの認証と操作を必要とせずに、ネットワーク経由で悪用される点がある。

CVE IDVulnerability TypeCVSS ScoreAffected ComponentAttack Vector
CVE-2025-14733Out-of-Bounds Write9.8WatchGuard Fireware OS iked processNetwork (Unauthenticated)
大規模な悪用試行を発見

WatchGuard が認めているのは、すでに脅威アクターが悪用を試みているという事実である。そのため、パッチを適用していない組織は、深刻なゼロデイ攻撃に直面していることになる。

The Shadowserver Foundation reported this in a post on X
The Shadowserver Foundation reported this in a post on X.

この脆弱性は、IKEv2 を使用するモバイルユーザーの VPN コンフィグと、IKEv2 と動的ゲートウェイピアを使用するブランチオフィス VPN コンフィグに明確に影響する。

管理者が脆弱な VPN コンフィグを削除している場合でも、いわゆるゾンビ・コンフィグのシナリオは危険である。静的ゲートウェイピアへのブランチオフィス VPN トンネルが残存している場合には、ファイアウォールに対する侵害の可能性が継続してしまう。

この脆弱性は、複数の Fireware OS バージョンに影響する。

Fireware VersionStatusRequired Action
2025.1 (≤ 2025.1.3)VulnerableUpgrade to 2025.1.4
12.x (≤ 12.11.5)VulnerableUpgrade to 12.11.6
12.5.xVulnerableUpgrade to 12.5.15
12.3.1 (FIPS)VulnerableUpdate to 12.3.1 Update 4
11.xEnd of LifeFull upgrade required

この脆弱性が影響を及ぼす範囲は広大である。Shadowserver のスキャンにより確認されたのは、世界中で運用されている脆弱なデバイスの数と、それらが北米/ヨーロッパに集中している状況である。

以前にも Shadowserver は、脆弱性 CVE-2025-9242 を持つ、パッチ未適用 Firebox デバイス 75,000 台以上を特定しているが、そのときのインシデントと似た状況にある。

WatchGuard は、アクティブなエクスプロイト試行に紐づけられる4つの IP アドレスを示し、具体的な侵害兆候を提示している。

さらに、ユーザー組織にとって必要なことは、ファイアウォール・ログを確認し、証明書チェーンの異常や 2,000 バイト超の異常に大きな IKE_AUTH ペイロードの存在を確認することだ。

すべての組織に対して強く推奨されるのは、Firebox デバイスの最優先でアップデートを実施することである。セキュリティ・チームは、疑わしい VPN アクティビティを監視し、監査ログで攻撃兆候を確認する必要がある。

また、侵害の可能性があるアプライアンスでは、パッチ適用後にローカル保存されているすべての認証情報をローテーションする必要がある。攻撃が活発に行われている状況では、更新の遅延により侵害リスクが大幅に増大する。

この問題の原因は、IKEv2 VPN の鍵交換処理において、受信したデータのサイズや内容を十分に検証しないままメモリ操作を行っていた点にあります。境界外書き込みが発生することで、想定外のデータがプロセス内部に書き込まれ、結果として未認証の状態でもコード実行につながる余地が生まれました。さらに、VPN コンフィグが過去の設定のまま残存するケースでは、管理者が意図していなくても脆弱な処理経路が有効なままとなります。こうした実装上の前提と運用上の状態が重なったことで、影響範囲が大きく広がったと考えられます。すでに悪用が観測されている状況ですので、ご利用のチームは、ご注意ください。よろしければ、2025/12/19 の「WatchGuard のゼロデイ CVE-2025-14733 が FIX:RCE によるデバイス乗っ取りの恐れ」も、ご参照ください。