CISAがWatchGuardファイアウォールの脆弱性について警告
米国サイバーセキュリティ・インフラセキュリティ庁(CISA)は、WatchGuard Fireboxファイアウォールに影響を与える、活発に悪用されている脆弱性について政府機関に警告を発しました。この脆弱性は、リモート攻撃者が脆弱なデバイス上で悪意のあるコードをリモートで実行することを可能にするものです。
脆弱性の詳細とCISAの指示
このクリティカルなセキュリティ上の欠陥(CVE-2025-9242)は、Fireware OS 11.x(サポート終了)、12.x、および2025.1を実行しているファイアウォールにおけるアウトオブバウンズ書き込みの脆弱性を悪用することで、リモート攻撃者が悪意のあるコードを実行できるものです。
CISAは、この脆弱性を既知の悪用されている脆弱性(KEV)カタログに追加し、連邦政府機関(FCEB)に対し、拘束力のある運用指令(BOD)22-01に基づき、12月3日までにシステムを保護するよう3週間の猶予を与えました。CISAは、「これらの種類の脆弱性は、悪意のあるサイバーアクターにとって頻繁な攻撃ベクトルであり、連邦政府機関に重大なリスクをもたらす」と述べています。
ベンダーの対応と現状
WatchGuardは9月17日にこの脆弱性に対処するためのセキュリティパッチをリリースしましたが、攻撃での悪用が確認されたのは約1ヶ月後の10月21日でした。その前日の10月20日には、インターネット監視団体Shadowserverが、世界中で75,000台以上の脆弱なFireboxアプライアンスを追跡していることを明らかにしました。Shadowserverの最新の統計によると、この数は54,000台強に減少しており、そのほとんどがヨーロッパと北米に位置しています。
すべての組織への勧告
CISAの命令は連邦政府機関にのみ適用されますが、ファイアウォールは脅威アクターにとって魅力的な標的であるため、すべての組織がこの脆弱性のパッチ適用を最優先するよう勧告されています。例えば、Akiraランサムウェアグループは、2024年9月以降、SonicWallファイアウォールをハッキングするために、1年前のクリティカルな脆弱性CVE-2024-40766を積極的に悪用しています。また、2年前の2022年4月には、CISAはWatchGuard FireboxおよびXTMファイアウォールアプライアンスに影響を与える、活発に悪用されている別のバグについて連邦政府機関にパッチ適用を指示しています。
その他のCISAからの警告
CISAは水曜日、ゼロデイ攻撃で悪用されたWindowsカーネルの脆弱性(CVE-2025-62215)についても連邦政府機関にパッチ適用を指示しました。この脆弱性により、低レベルの権限を持つローカル攻撃者がSYSTEMレベルのアクセス権を取得することが可能になります。