导语:目前尚未有报告显示CVE-2025-9242漏洞已被攻击者活跃利用,但官方强烈建议尚未安装安全更新的管理员,尽快为设备部署补丁。
全球有近7.6万台WatchGuard Firebox网络安全设备暴露在公网上,且仍未修复高危漏洞CVE-2025-9242——远程攻击者无需身份验证,即可利用该漏洞执行代码。
Firebox设备是网络核心防御枢纽,负责管控内网与外网间的流量。它通过策略管理、安全服务、虚拟专用网络提供防护,并借助WatchGuard Cloud实现实时可视化监控。
设备暴露与地域分布:超7.5万台受影响,欧美占比高
据Shadowserver基金会的扫描数据显示,目前全球共有75,835台存在漏洞的Firebox设备,多数分布在欧洲与北美地区。具体国家分布排名如下:
1. 美国:24,500台(数量最多);
2. 德国:7,300台;
3. 意大利:6,800台;
4. 英国:5,400台;
5. 加拿大:4,100台;
6. 法国:2,000台。
10月19日,Shadowserver基金会曾检测到75,955台存在漏洞的Firebox防火墙。该机构发言人称,当前扫描结果具备可靠性,数据反映的是真实部署设备数量,暂未包含蜜罐(用于诱捕黑客的模拟设备)。
漏洞详情:高危CVE-2025-9242,源于Fireware OS进程漏洞
WatchGuard于9月17日在安全公告中披露CVE-2025-9242漏洞,将其风险等级定为“高危”,CVSS评分为9.3分。该漏洞本质是Fireware OS操作系统中“iked”进程存在“越界写入”问题,而“iked”进程负责处理IKEv2协议的VPN协商流程。
攻击者利用漏洞的方式无需认证:向存在漏洞的Firebox设备发送特制IKEv2数据包,迫使设备将数据写入非预期内存区域,进而触发恶意代码执行。
1. 受影响设备与版本范围
该漏洞仅影响同时满足以下两个条件的Firebox设备:
功能层面:使用IKEv2 VPN且对接“动态网关节点”;
版本层面:Fireware OS版本为11.10.2至11.12.4_Update1、12.0至12.11.3、2025.1。
2. 特殊场景与临时防护
若设备仅配置“分支办公室VPN”且对接“静态网关节点”,暂不受该漏洞直接影响。厂商建议此类用户参考官方文档,通过IPSec与IKEv2协议加固连接,作为临时防护方案。
WatchGuard官方明确建议用户将设备升级至以下安全版本,以彻底修复漏洞:
·2025.1.1
·12.11.4
·12.5.13
·12.3.1_Update3(版本号B722811)
需特别注意:Fireware OS 11.x版本已达“支持终止期”,厂商不再为该版本提供安全更新。仍使用11.x版本的用户,需尽快升级至仍受支持的版本,避免因无法修复漏洞持续暴露风险。
目前尚未有报告显示CVE-2025-9242漏洞已被攻击者活跃利用,但官方强烈建议尚未安装安全更新的管理员,尽快为设备部署补丁——Firebox设备作为网络边界核心防护,一旦被攻陷,可能导致内网完全暴露,风险不可忽视。虽无活跃攻击报告,仍需紧急打补丁。
文章翻译自:https://www.bleepingcomputer.com/news/security/over-75-000-watchguard-security-devices-vulnerable-to-critical-rce/如若转载,请注明原文地址
.jpg)