概要
WatchGuard Fireboxアプライアンスにおいて、認証なしでリモート攻撃者が任意のコードを実行できる重大なセキュリティ脆弱性が発見されました。この脆弱性はCVE-2025-9242として識別され、IKEv2 VPNサービスに影響を与えます。CVSS 4.0スコアは9.3と評価されており、これらのセキュリティデバイスを使用している組織にとって極めて深刻な脅威となっています。
脆弱性の詳細
この脆弱性は、WatchGuard Fireware OSのikedプロセスにおける境界外書き込み(out-of-bounds write)の問題に起因します。特に、IKEv2を使用するモバイルユーザーVPNまたは動的ゲートウェイピアを持つブランチオフィスVPN構成を利用している組織に影響を与えます。
セキュリティ研究者によると、この脆弱性はスタックベースのバッファオーバーフローであり、IKEv2認証プロセス中の識別データ処理に存在します。クライアントがVPNサービスに接続する際、システムは識別情報をスタック上の固定サイズバッファにコピーしますが、脆弱なバージョンではこのデータの長さを適切に検証しません。これにより、攻撃者はバッファをオーバーフローさせ、保存されたレジスタ値やリターンアドレスを含む重要なメモリ領域を上書きすることが可能になります。
この脆弱性が特に懸念されるのは、認証なしでリモートから悪用できる点です。攻撃者は、特別に細工されたIKEv2パケットをVPNサービス(通常UDPポート500で実行され、インターネットに公開されていることが多い)に送信することで、脆弱なコードパスに到達できます。watchTowr Labsのセキュリティ研究者は、520バイトを超える過大な識別データを送信することで、スタックを破損させ、プログラムの実行フローを乗っ取ることに成功しました。攻撃は2段階で行われ、まずIKE_SA_INITパケットで暗号化パラメータをネゴシエートし、次に悪意のあるペイロードを含むIKE_SA_AUTHパケットを送信します。研究者は、セキュリティ保護をバイパスし、root権限でリモートコード実行を達成するための完全なエクスプロイトチェーンを開発しました。
影響を受けるバージョンと対策
この脆弱性は、Fireware OSバージョン11.10.2から11.12.4_Update1、バージョン12.0から12.11.3、およびバージョン2025.1を実行している広範囲のWatchGuard Fireboxモデルに影響を与えます。WatchGuardは、この問題に対処するためのパッチをリリースしています。
組織は直ちに以下のバージョンにアップグレードすることが推奨されます:
- Fireware OSバージョン 2025.1.1
- 12.xシリーズ向けバージョン 12.11.4
- T15およびT35モデル向けバージョン 12.5.13
- FIPS認定リリース向けバージョン 12.3.1_Update3
すぐにアップグレードできない組織向けには、静的ゲートウェイピアで構成されたブランチオフィスVPNトンネルの回避策が推奨されていますが、最も効果的な保護策はセキュリティパッチの適用です。
謝辞と情報源
この脆弱性は、セキュリティ研究者btaol氏に帰属します。watchTowr Labsは、組織が脆弱なシステムを特定し保護するのに役立つ詳細な技術分析と検出ツールを公開しています。