概要

ウォッチガードは、同社のFireboxファイアウォールアプライアンスに存在する重大なゼロデイ脆弱性について緊急警告を発しました。この脆弱性は「CVE-2025-14733」として追跡されており、現在、悪用が確認されています。この欠陥により、リモートの攻撃者は認証を必要とせずに影響を受けるデバイスを完全に制御することが可能となります。

技術的な詳細と影響

この脆弱性は、IKEv2 VPNネゴシエーションを処理する「iked」プロセスに存在するOut-of-Bounds Writeの欠陥です。特に以下の構成のFireboxアプライアンスに影響を与えます。

• IKEv2を使用するモバイルユーザーVPN
• 動的ゲートウェイピアを持つIKEv2を使用するブランチオフィスVPN

このセキュリティギャップを悪用することで、攻撃者は特別に細工されたリクエストをファイアウォールに送信し、メモリ破損エラーを引き起こすことができます。CVSSスコアは9.3（緊急）と評価されており、悪用に成功すると任意のコード実行が可能になります。これにより、攻撃者は悪意のあるコマンドの実行、マルウェアのインストール、またはデバイスの完全な管理者制御の奪取が可能になります。ウォッチガードは、脅威アクターがこの脆弱性を積極的に悪用しようとしていることを確認しています。以前に脆弱なVPN構成が削除されていたとしても、静的ブランチオフィスVPNが構成されたままの場合、デバイスは依然としてリスクにさらされる可能性があります。

侵害の兆候と悪意のあるIPアドレス

管理者は、侵害の兆候がないかログを直ちに確認する必要があります。ikedプロセスのクラッシュやハングアップは、攻撃の強力な指標となります。さらに、ログメッセージに「Invalid peer certificate chain」や「Abnormally large IKE_AUTH request CERT payload」（2000バイト以上）という特定のメッセージがある場合も、重要な警告サインです。これまでに確認された悪意のある活動は、以下のIPアドレスに追跡されています。

• 45.95.19[.]50
• 51.15.17[.]89
• 172.93.107[.]67
• 199.247.7[.]82

推奨される対策

ウォッチガードは、この問題に対処するためのソフトウェアアップデートをリリースしています。管理者は、直ちにFireware OS 2025.1.4、12.11.6、または12.5.15にアップグレードする必要があります。デバイスが潜在的に侵害された場合は、パッチ適用後にローカルに保存されているすべての秘密情報をローテーションすることが極めて重要です。

元記事: https://gbhackers.com/watchguard-zero-day-actively-exploited/