概要
WatchGuard Fireboxアプライアンスにおいて、リモートの攻撃者が認証なしで任意のコードを実行できる重大なセキュリティ脆弱性が発見されました。
この脆弱性はCVE-2025-9242として識別され、CVSS 4.0スコアで9.3(Critical)と評価されており、これらのセキュリティデバイスを使用する組織にとって極めて深刻な脅威となります。
脆弱性の詳細
この脆弱性は、WatchGuard Fireware OSのIKEv2 VPNサービスにおけるikedプロセス内のout-of-bounds write問題に起因します。特に、IKEv2を使用するモバイルユーザーVPN、または動的ゲートウェイピアを持つブランチオフィスVPN構成を利用している組織が影響を受けます。
セキュリティ研究者によって、この脆弱性はスタックベースのバッファオーバーフローであることが判明しました。これは、システムがIKEv2認証中の識別データの長さを適切に検証しないために発生します。これにより、攻撃者はバッファをオーバーフローさせ、保存されたレジスタ値やリターンアドレスを含む重要なメモリ領域を上書きすることが可能になります。
影響と悪用方法
この脆弱性が特に懸念されるのは、認証なしでリモートから悪用できる点です。攻撃者は、特別に細工されたIKEv2パケットをVPNサービス(通常UDPポート500で動作し、インターネットに公開されていることが多い)に送信することで、脆弱なコードパスに到達できます。
watchTowr Labsのセキュリティ研究者は、悪用を成功裏に実証しました。彼らは、IKE_SA_INITパケットで暗号化パラメータをネゴシエートした後、悪意のあるペイロードを含むIKE_SA_AUTHパケットを送信する2段階のプロセスで攻撃を実行しました。識別バッファを520バイトを超えるように慎重に細工することで、攻撃者は重要なCPUレジスタを制御し、プログラムの実行を自身のコードにリダイレクトすることができました。研究者は、セキュリティ保護をバイパスし、root権限でのリモートコード実行を達成するための完全なエクスプロイトチェーンを開発しました。
対象となる製品と対策
この脆弱性は、Fireware OSバージョン11.10.2から11.12.4_Update1、バージョン12.0から12.11.3、およびバージョン2025.1を実行している広範囲のWatchGuard Fireboxモデルに影響します。
WatchGuardは、この問題に対処するためのパッチをリリースしました。組織は直ちに以下のバージョンにアップグレードする必要があります:
- Fireware OSバージョン 2025.1.1
- 12.xシリーズ向けバージョン 12.11.4
- T15およびT35モデル向けバージョン 12.5.13
- FIPS認定リリース向けバージョン 12.3.1_Update3
直ちにアップグレードできない組織向けには、静的ゲートウェイピアで構成されたブランチオフィスVPNトンネルに対する回避策が推奨されています。しかし、最も効果的な保護策は、できるだけ早くセキュリティパッチを適用することです。
この脆弱性はセキュリティ研究者btaol氏に帰属し、watchTowr Labsによって詳細な技術分析と検出ツールが公開されています。
推奨事項
この脆弱性の重大な性質と、認証なしでのリモート悪用の可能性を考慮すると、WatchGuardユーザーはこのアップデートを緊急の優先事項として扱うべきです。組織は、可能な限り早くセキュリティパッチを適用し、システムを保護することが強く推奨されます。