はじめに
ウォッチガード社は、同社のFireboxファイアウォール製品に緊急度の高いリモートコード実行(RCE)の脆弱性が発見され、すでに攻撃で悪用されていると顧客に警告しました。
脆弱性の詳細
この脆弱性は「CVE-2025-14733」として追跡されており、Fireware OSのバージョン11.x(11.12.4_Update1を含む)、12.x(12.11.5を含む)、および2025.1から2025.1.3までのバージョンに影響を与えます。
本脆弱性は、境界外書き込み(out-of-bounds write)の弱点に起因しており、認証されていない攻撃者がパッチ未適用のデバイス上でリモートで悪意のあるコードを実行することを可能にします。攻撃は複雑度が低く、ユーザーの操作を必要としません。
ウォッチガードは、パッチ未適用のFireboxファイアウォールは、IKEv2 VPNを使用するように設定されている場合にのみ脆弱ですが、脆弱な設定が削除された後でも、静的ゲートウェイピアへのブランチオフィスVPNがまだ設定されている場合は、依然として侵害される可能性があると指摘しています。
同社は「ウォッチガードは、脅威アクターがこの脆弱性を積極的に悪用しようとしていることを確認しました」と警告しています。
影響を受ける製品とバージョン
以下のFireware OSのバージョンとFireboxモデルがこの脆弱性の影響を受けます。
- Fireware OS 12.5.x: T15, T35
- Fireware OS 2025.1.x: T115-W, T125, T125-W, T145, T145-W, T185
- Fireware OS 12.x: T20, T25, T40, T45, T55, T70, T80, T85, M270, M290, M370, M390, M470, M570, M590, M670, M690, M440, M4600, M4800, M5600, M5800, Firebox Cloud, Firebox NV5, FireboxV
対策と推奨事項
ウォッチガードは顧客に対し、デバイスにパッチを適用するよう強く推奨しています。すぐにパッチを適用できない組織向けに、脆弱なブランチオフィスVPN(BOVPN)設定を持つデバイスの一時的な回避策も提供しています。
回避策には、ダイナミックピアBOVPNの無効化、新しいファイアウォールポリシーの追加、VPNトラフィックを処理するデフォルトのシステムポリシーの無効化が含まれます。
同社は、顧客がFireboxデバイスが侵害されていないか確認するための侵害指標(IoC)を共有しており、悪意のある活動の兆候を発見した場合は、脆弱なアプライアンスにローカルに保存されているすべてのシークレットをローテーションするよう助言しています。
過去の関連事例
ウォッチガードのFireboxファイアウォールに関連する脆弱性は今回が初めてではありません。
- 昨年9月には、ほぼ同一のリモートコード実行脆弱性(CVE-2025-9242)がパッチ適用されました。
- その1ヶ月後には、Shadowserverが75,000台以上のFireboxファイアウォールがCVE-2025-9242の攻撃に対して脆弱であることを発見し、そのほとんどが北米とヨーロッパに集中していました。
- さらに3週間後、米国のサイバーセキュリティ・インフラセキュリティ庁(CISA)は、この脆弱性が活発に悪用されているとタグ付けし、連邦機関にウォッチガードFireboxファイアウォールを継続的な攻撃から保護するよう命じました。
- 2年前にもCISAは、FireboxおよびXTMファイアウォールアプライアンスに影響を与える、すでに悪用されていた別のウォッチガードの脆弱性(CVE-2022-23176)のパッチ適用を米国政府機関に命じています。
ウォッチガードは、17,000以上のサービスプロバイダーおよびセキュリティ再販業者と提携し、世界中の25万以上の中小企業のネットワークを保護しています。これらの大規模な顧客基盤を考慮すると、今回の脆弱性への迅速な対応が不可欠です。