はじめに
WatchGuard Fireboxアプライアンスにおいて、リモートの攻撃者が認証なしで任意のコードを実行できる可能性のある重大なセキュリティ脆弱性が発見されました。この脆弱性は、WatchGuard VPNサービスを利用している組織にとって緊急の対応が必要とされています。
脆弱性の概要
この脆弱性はCVE-2025-9242として識別されており、IKEv2 VPNサービスに影響を与えます。CVSS 4.0スコアでは9.3と評価され、極めて危険な脅威とされています。攻撃者はこの欠陥を悪用し、認証なしでリモートからシステムを完全に制御する可能性があります。
技術的詳細
脆弱性は、WatchGuard Fireware OSのikedプロセスにおける境界外書き込み(out-of-bounds write)に起因します。具体的には、IKEv2認証プロセス中の識別子データの処理方法に問題があります。システムがクライアントの識別情報をスタック上の固定サイズバッファにコピーする際、データの長さを適切に検証しないため、攻撃者はバッファオーバーフローを引き起こし、重要なメモリ領域(保存されたレジスタ値やリターンアドレスを含む)を上書きできます。
この脆弱性の特に懸念される点は、認証なしでリモートから悪用可能であることです。攻撃者は、特別に細工されたIKEv2パケットをVPNサービス(通常UDPポート500で動作し、インターネットに公開されていることが多い)に送信することで、脆弱なコードパスに到達できます。watchTowr Labsのセキュリティ研究者は、520バイトを超える識別子データを送信することでスタックを破損させ、プログラムの実行フローを乗っ取ることに成功しました。彼らは、Return-Oriented Programming(ROP)技術を用いてセキュリティ保護を回避し、root権限でのリモートコード実行を達成する完全なエクスプロイトチェーンを開発しました。
影響を受けるバージョンと対策
この脆弱性は、以下のWatchGuard FireboxモデルおよびFireware OSバージョンに影響を与えます:
- Fireware OSバージョン 11.10.2から11.12.4_Update1
- Fireware OSバージョン 12.0から12.11.3
- Fireware OSバージョン 2025.1
WatchGuardは、この問題に対処するためのパッチをリリースしています。組織は直ちに以下のバージョンにアップグレードすることが推奨されます:
- Fireware OSバージョン 2025.1.1
- 12.xシリーズ向けバージョン 12.11.4
- T15およびT35モデル向けバージョン 12.5.13
- FIPS認定リリース向けバージョン 12.3.1_Update3
直ちにアップグレードできない組織向けには、スタティックゲートウェイピアで構成されたブランチオフィスVPNトンネルに対する回避策が推奨されていますが、最も効果的な保護策はセキュリティパッチを適用することです。
結論と推奨事項
この脆弱性は、認証なしでリモートから悪用される可能性があり、その性質上、WatchGuardユーザーは緊急の優先事項としてこのアップデートを扱うべきです。システムを保護するために、速やかに推奨されるパッチを適用してください。この脆弱性はセキュリティ研究者btaol氏に帰属し、watchTowr Labsによって詳細な技術分析と検出ツールが公開されています。