概要:WatchGuard Fireboxの脆弱性と広範な攻撃キャンペーン
セキュリティベンダーのWatchGuardは、同社のFireboxデバイスに存在する重大な脆弱性が、現在進行中のエッジデバイスを標的とした攻撃キャンペーンの一環として悪用されている可能性があると警告しました。この脆弱性は、認証されていない攻撃者がリモートコード実行を可能にする恐れがあります。
脆弱性の詳細:CVE-2025-14733
- トラッキングID: CVE-2025-14733
- 種類: Fireware OSのインターネット鍵交換デーモン(IKED)プロセスにおけるアウトオブバウンド書き込み脆弱性。
- 影響: 認証されていない攻撃者によるリモートコード実行(RCE)の可能性。
- 修正状況: WatchGuardは内部プロセスを通じてこの脆弱性を発見し、既にパッチを公開しています。同社は、パートナーおよびエンドユーザーに対し、迅速なパッチ適用を強く推奨しています。
- 対象: IKEv2を使用するモバイルユーザーVPN、またはIKEv2をダイナミックゲートウェイピアとして設定しているブランチオフィスVPNに影響します。
広がる脅威:エッジデバイスへの攻撃
WatchGuardは、この脅威活動が、多数のベンダーのエッジデバイスおよびインターネットに公開されたインフラストラクチャを標的とする広範なキャンペーンの一部であると指摘しています。しかし、具体的に標的とされている他のベンダーや、この悪用に関与している可能性のある脅威グループについては明らかにされていません。
Shadowserverの研究者は、土曜日に最大125,000のIPアドレスが脆弱であると報告しており、サイバーセキュリティ・インフラセキュリティ庁(CISA)は金曜日にこの脆弱性を「既知の悪用されている脆弱性(Known Exploited Vulnerabilities)」カタログに追加しました。
専門家の見解と過去の類似事例
VulnCheckによると、このWatchGuardの脆弱性は、メモリ破損問題に起因しており、2025年9月に開示され悪用もされたWatchGuard Fireware OSの別の脆弱性(CVE-2025-9242)と類似しています。
VulnCheckのセキュリティリサーチ担当副社長であるCaitlin Condon氏は、次のように述べています。
「このようなメモリ破損の脆弱性は、悪用が成功すると通常は高権限のリモートコード実行が可能になるため、攻撃者にとって価値があります。しかし、これらの種類の脆弱性は悪用が困難な場合もあり、機能的なエクスプロイトを開発するためには、標的ごとの知識(例:ハードコードされたメモリアドレス)が必要となることもあります。」
影響と暫定的な回避策
悪用が成功した場合、IKEDプロセスがハングアップし、VPNトンネルの交渉や再キー交換が中断されるとWatchGuardは警告しています。
直ちにアップグレードできない場合で、Fireboxが静的ゲートウェイピアへのブランチオフィスVPNトンネルのみを使用するように設定されているユーザーに対しては、WatchGuardは一時的な回避策を提示しており、同社の指示に従うことで対応が可能です。
元記事: https://www.cybersecuritydive.com/news/watchguard-critical-flaw-firebox-exploitation/808617/