WatchGuard Fireware OS漏洞可能导致任意代码执行

MS-ISAC咨询编号：2025-087 发布日期：2025年9月19日

概述

在WatchGuard Fireware OS中发现了一个漏洞，可能导致任意代码执行。Fireware OS是运行在WatchGuard Firebox防火墙上的软件。Fireware包含一个Web UI，用于管理和监控网络中的每个Firebox。

成功利用此漏洞可能允许远程未经认证的攻击者执行任意代码。根据受影响用户的权限，攻击者可以安装程序；查看、更改或删除数据。配置为在系统上具有较少用户权限的用户帐户可能比使用管理用户权限操作的用户受影响较小。

威胁情报

目前没有关于此漏洞在野外被利用的报告。

受影响系统

Fireware OS 11.10.2 至 11.12.4_Update1（含）
Fireware OS 12.0 至 12.11.3（含）
Fireware OS 2025.1

风险等级

政府机构：

大型和中型政府实体：高
小型政府实体：中

企业：

大型和中型企业实体：高
小型企业实体：中

家庭用户：低

技术详情

在WatchGuard Fireware OS中发现了一个漏洞，可能导致任意代码执行。漏洞详情如下：

战术：初始访问（TA0001） 技术：利用面向公众的应用程序（T1190）

WatchGuard Fireware OS的iked进程中的越界写入漏洞可能允许远程未经认证的攻击者执行任意代码（CVE-2025-9242）。此漏洞影响配置了具有动态网关对等点的IKEv2移动用户VPN和使用IKEv2的分支机构VPN。

如果Firebox先前配置了具有IKEv2的移动用户VPN或使用IKEv2到动态网关对等点的分支机构VPN，并且这些配置后来被删除，如果仍然配置了到静态网关对等点的分支机构VPN，则该Firebox可能仍然容易受到攻击。

建议措施

我们建议采取以下行动：

在适当测试后立即应用WatchGuard为易受攻击系统提供的适当更新（M1051：更新软件）
保障措施7.1：建立和维护漏洞管理流程
保障措施7.2：建立和维护修复流程
保障措施7.4：执行自动化应用程序补丁管理
保障措施7.5：执行内部企业资产的自动化漏洞扫描
保障措施7.7：修复检测到的漏洞
保障措施12.1：确保网络基础设施是最新的
保障措施18.1：建立和维护渗透测试计划
保障措施18.2：执行定期外部渗透测试
保障措施18.3：修复渗透测试发现的问题
对所有系统和服务应用最小权限原则。以非特权用户（没有管理权限的用户）身份运行所有软件，以减少成功攻击的影响（M1026：特权帐户管理）
保障措施4.7：管理企业资产和软件上的默认帐户
保障措施5.5：建立和维护服务帐户清单
使用漏洞扫描来查找可能被利用的软件漏洞并进行修复（M1016：漏洞扫描）
保障措施16.13：执行应用程序渗透测试
构建网络部分以隔离关键系统、功能或资源。使用物理和逻辑分段来防止访问可能敏感的系统信息。使用DMZ来包含任何不应从内部网络暴露的面向互联网的服务。配置单独的虚拟私有云（VPC）实例以隔离关键云系统（M1030：网络分段）
保障措施12.2：建立和维护安全的网络架构
使用功能来检测和阻止可能导致或指示软件利用发生的条件（M1050：利用保护）
保障措施10.5：启用反利用功能

参考资料

Arctic Wolf：https://arcticwolf.com/resources/blog/cve-2025-9242/
CVE：https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2025-9242
WatchGuard：https://www.watchguard.com/wgrd-psirt/advisory/wgsa-2025-00015