近76,000台WatchGuard Firebox设备暴露——关键IKEv2 RCE漏洞(CVE-2025-9242)

阅读时间：3分钟

事件概述

WatchGuard Firebox设备中存在一个关键漏洞——CVE-2025-9242，该漏洞影响Fireware OS中的IKEv2处理过程，攻击者可通过特制的IKEv2数据包无需认证即可触发，可能导致远程代码执行。Shadowserver Foundation的全球扫描显示，目前约有75,800-76,000台暴露的Firebox设备仍处于脆弱状态，其中大部分位于北美和欧洲。


技术问题分析

CVE-2025-9242是iked进程（负责IKEv2 VPN协商的组件）中的越界写入漏洞。攻击者可以向接受动态IKEv2网关对等体的脆弱Firebox发送特制IKEv2流量，导致内存损坏，为在设备上执行任意代码打开大门。该漏洞被评为严重级别（WatchGuard评分为9.3）。

受影响的Fireware版本包括（非完整列表）：

• 12.0至12.11.3
• 2025.1

影响范围与暴露情况

Shadowserver的扫描检测到全球约有75,800-75,955台脆弱的Firebox设备。地理分布大致如下（根据Shadowserver数据）：

• 美国：约24,500台设备
• 德国：约7,300台
• 意大利：约6,800台
• 英国：约5,400台
• 加拿大：约4,100台
• 法国：约2,000台

这些都是生产设备，通常用作边界防火墙和VPN网关，意味着成功利用可能让攻击者在受害者网络中获得强大的立足点。

厂商指导与修复版本

WatchGuard于9月17日发布了安全公告，建议升级到修复版本。建议的目标版本包括（选择适合您环境的分支）：

• 2025.1.1
• 12.11.4
• 12.5.13
• 12.3.1_Update3 (B722811)

重要提示：版本11.x已终止支持，不会收到进一步的安全更新——仍在使用11.x的管理员应尽快迁移到受支持的分支。

临时缓解措施

如果无法立即打补丁，WatchGuard建议根据部署情况采取以下变通方案：

• 如果设备仅配置了分支机构（静态网关）VPN，考虑切换到静态网关配置，或遵循厂商关于保护IPSec/IKEv2的指导以减少暴露
• 限制入站IKE/UDP 500和NAT-T/UDP 4500仅允许受信任的对等体——在可行的情况下阻止或限速来自公共互联网的IKE流量
• 使用网络层保护（NAT、防火墙规则、IP允许列表）确保只有预期的端点可以启动与您的Firebox的IKE协商
• 监控设备日志和WatchGuard Cloud中的异常IKE协商模式或意外对等体连接

这些都是临时措施——升级到修复的Fireware版本是唯一可靠的补救方法。

立即行动清单（推荐）

1. 立即打补丁——尽快安排并应用WatchGuard的修复版Fireware构建（2025.1.1 / 12.11.4 / 12.5.13 / 12.3.1_Update3）

2. 隔离暴露在互联网的设备——如果必须延迟打补丁，限制IKE/UDP 500和UDP 4500入口仅允许受信任的IP

3. 资产清点——识别您环境中的所有Firebox设备并确认Fireware版本；将所有面向互联网、未打补丁的设备视为高优先级

4. 搜寻入侵迹象——检查防火墙日志、VPN会话、配置更改和WatchGuard Cloud遥测数据，查找意外重启、新管理用户、修改的规则或异常隧道

5. 轮换凭据和密钥——如果怀疑遭到入侵，轮换管理凭据和动态对等体使用的任何VPN共享密钥

6. 监控Shadowserver/威胁情报——跟踪公共扫描报告和厂商公告，了解不断变化的IoC或利用遥测

7. 规划迁移——从已终止支持的11.x分支迁移到受支持的Fireware版本，以接收未来的安全更新

来源：bleepingcomputer.com