WatchGuard Fireboxの脆弱性：概要

WatchGuard Technologiesは、同社のFireboxファイアウォール製品に複数の重大なセキュリティ脆弱性を開示しました。これらの脆弱性を悪用することで、攻撃者はシステムの整合性チェックをバイパスし、悪意のあるコードを実行する可能性があります。同社は2025年12月4日にパッチをリリースし、エンタープライズネットワークのセキュリティに深刻なリスクをもたらす6つの異なる脆弱性に対処しました。

複数のWatchGuard Fireboxの脆弱性の詳細

特に懸念される脆弱性の一つが、CVE-2025-13940です。この脆弱性は、攻撃者がFireware OSのブート時システム整合性検証をバイパスすることを可能にします。CVSSスコア6.7の中程度の深刻度の脆弱性ですが、システム整合性の障害が検出された場合でもFireboxがシャットダウンするのを阻止できるため、悪意のある変更が加えられたシステムが稼働し続ける危険性があります。

この脆弱性は、Fireware OSのバージョン12.8.1から12.11.4および2025.1から2025.1.2に影響を与えます。

WatchGuardは、認証された特権ユーザーが悪意のあるコードを実行できる複数の高深刻度のアウトオブバウンズ書き込みの脆弱性にも対処しました。

• CVE-2025-12196はManagement CLIのpingコマンドに影響を与え、CVSSスコアは8.6です。
• CVE-2025-12195はIPSec設定コマンドを標的とし、こちらもCVSSスコアは8.6です。
• CVE-2025-12026はcertdコンポーネントの証明書要求コマンドに影響を与え、同じく高深刻度です。

最も深刻な脆弱性はCVE-2025-11838で、CVSSスコアは8.7です。この脆弱性により、非認証の攻撃者がサービス拒否（DoS）状態を引き起こす可能性があります。これは、動的ゲートウェイピアを持つMobile User VPNおよびBranch Office VPN構成のIKEv2実装におけるメモリ破損の脆弱性です。watchTowrの研究者McCaulay Hudson氏によって発見されました。

もう一つの高リスクな問題であるCVE-2025-1545は、Web CGIインターフェースでのXPathインジェクションを介して、非認証のリモート攻撃者が機密設定データを抽出することを可能にします。

推奨される対策

WatchGuardは、複数の製品ラインで包括的なパッチをリリースしています。Fireware OSを使用している組織は、展開に応じて直ちにバージョン2025.1.3、12.11.5、または12.5.14にアップグレードする必要があります。バージョン11.xは既にサポート終了（EOL）を迎えており、セキュリティアップデートは提供されないため、組織はサポートされているバージョンへの移行が必須です。

これら6つの脆弱性はすべて解決済みとされており、回避策は存在しないため、即時のパッチ適用が唯一の効果的な緩和策となります。ファイアウォールインフラストラクチャの重要性と、システムが完全に侵害される可能性を考慮すると、セキュリティチームはこれらのアップデートを最優先で実施すべきです。

元記事: https://gbhackers.com/watchguard-firebox-vulnerabilities/