はじめに
WatchGuard社のFireboxネットワークセキュリティアプライアンスにおいて、認証なしでリモートコード実行(RCE)を可能にする深刻な脆弱性「CVE-2025-9242」が発見されました。現在、7万5千台近くのデバイスがインターネット上に公開されており、この脆弱性の影響を受ける状態にあります。
Fireboxデバイスは、内部ネットワークと外部ネットワーク間のトラフィックを制御する中心的な防御ハブとして機能し、ポリシー管理、セキュリティサービス、VPNなどを通じて保護を提供しています。
脆弱性の詳細
WatchGuard社は9月17日にセキュリティ速報でCVE-2025-9242を公開し、その深刻度を9.3(クリティカル)と評価しました。
このセキュリティ問題は、Fireware OSの「iked」プロセスにおける境界外書き込み(out-of-bounds write)に起因します。このプロセスはIKEv2 VPNネゴシエーションを処理しており、特別に細工されたIKEv2パケットを脆弱なFireboxエンドポイントに送信することで、認証なしに意図しないメモリ領域へのデータ書き込みを強制し、コード実行が可能になります。
影響を受けるのは、IKEv2 VPNと動的ゲートウェイピアを使用するFireboxアプライアンスで、以下のバージョンが対象です。
- 11.10.2から11.12.4_Update1
- 12.0から12.11.3
- 2025.1
世界的な影響
The Shadowserver Foundationによるスキャンでは、現在、世界中で75,835台の脆弱なFireboxアプライアンスが確認されており、そのほとんどがヨーロッパと北米に集中しています。特に、以下の国々で多くのエンドポイントが確認されています。
- 米国: 24,500台
- ドイツ: 7,300台
- イタリア: 6,800台
- 英国: 5,400台
- カナダ: 4,100台
- フランス: 2,000台
10月19日時点の最新スキャンでも、75,955台の脆弱なFireboxファイアウォールが検出されており、これらの数値は実際の展開を反映しているとされています。
ベンダーの推奨と対策
WatchGuard社は、以下のいずれかのバージョンへのアップグレードを推奨しています。
- 2025.1.1
- 12.11.4
- 12.5.13
- 12.3.1_Update3 (B722811)
バージョン11.xはサポート終了(End of Support)に達しており、セキュリティアップデートが提供されないため、これらのユーザーはサポートされているバージョンへの移行が強く推奨されます。
静的ゲートウェイピアへのBranch Office VPNのみを使用するデバイスについては、IPSecおよびIKEv2プロトコルを使用した接続の保護に関するドキュメントを参照し、暫定的な回避策を適用することが可能です。
早急なパッチ適用を
現時点ではCVE-2025-9242のアクティブな悪用は報告されていませんが、セキュリティ研究者や悪意のあるアクターがこの脆弱性を悪用する可能性は常に存在します。そのため、セキュリティアップデートを適用していない管理者は、可能な限り早急にパッチをインストールすることが強く推奨されます。