Podatność typu Out-of-bounds Write w systemie WatchGuard Fireware OS umożliwia zdalnemu, nieuwierzytelnionemu atakującemu wykonanie dowolnego kodu na urządzeniu. Luka jest aktywnie wykorzystywana w atakach, co nadaje jej najwyższy priorytet naprawy.
▸ Pokaż oryginał (EN)
An Out-of-bounds Write vulnerability in WatchGuard Fireware OS may allow a remote unauthenticated attacker to execute arbitrary code. This vulnerability affects both the Mobile User VPN with IKEv2 and the Branch Office VPN using IKEv2 when configured with a dynamic gateway peer.This vulnerability affects Fireware OS 11.10.2 up to and including 11.12.4_Update1, 12.0 up to and including 12.11.5 and 2025.1 up to and including 2025.1.3.
Błąd polega na zapisie poza granicami przydzielonego bufora (CWE-787) w komponencie obsługującym protokół IKEv2. Podatność jest wyzwalana zarówno przez Mobile User VPN z IKEv2, jak i przez Branch Office VPN z IKEv2 skonfigurowany z dynamicznym peerem bramy (dynamic gateway peer). Atakujący może wysłać specjalnie spreparowane pakiety IKEv2 bez konieczności wcześniejszego uwierzytelnienia, co prowadzi do uszkodzenia pamięci i potencjalnego przejęcia kontroli nad urządzeniem.
Atakujący może wykonać dowolny kod na urządzeniu z poziomem uprawnień procesu obsługującego VPN, co w praktyce oznacza pełne przejęcie kontroli nad urządzeniem brzegowym, a tym samym nad ruchem sieciowym chronionym przez dane urządzenie WatchGuard Firebox.
Należy niezwłocznie zaktualizować system Fireware OS do wersji wyższej niż 11.12.4_Update1 (dla gałęzi 11.x), wyższej niż 12.11.5 (dla gałęzi 12.x) lub wyższej niż 2025.1.3 (dla gałęzi 2025.1), zgodnie z oficjalnym komunikatem WatchGuard PSIRT (WGSA-2025-00027). Do czasu aplikacji patcha należy rozważyć wyłączenie funkcji IKEv2 VPN lub ograniczenie dostępu do portów IKEv2 wyłącznie do zaufanych adresów IP na poziomie firewalla.
WatchGuard Firebox T70, M440, M370, M690, M470 z systemem Fireware OS w wersjach: 11.10.2 do 11.12.4_Update1 włącznie, 12.0 do 12.11.5 włącznie oraz 2025.1 do 2025.1.3 włącznie, gdy skonfigurowany jest Mobile User VPN z IKEv2 lub Branch Office VPN z IKEv2 z dynamicznym peerem bramy.
Podatność figuruje w katalogu CISA Known Exploited Vulnerabilities, co potwierdza jej aktywne wykorzystywanie w środowiskach produkcyjnych. Doradztwo bezpieczeństwa producenta dostępne pod identyfikatorem WGSA-2025-00027.
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:RedWatchguard Fireboxcloud
HWWatchguardwszystkie wersjeWatchguard Firebox M270
HWWatchguardwszystkie wersjeWatchguard Firebox M290
HWWatchguardwszystkie wersjeWatchguard Firebox M370
HWWatchguardwszystkie wersjeWatchguard Firebox M390
HWWatchguardwszystkie wersjeWatchguard Firebox M440
HWWatchguardwszystkie wersjeWatchguard Firebox M4600
HWWatchguardwszystkie wersjeWatchguard Firebox M470
HWWatchguardwszystkie wersjeWatchguard Firebox M4800
HWWatchguardwszystkie wersjeWatchguard Firebox M5600
HWWatchguardwszystkie wersjeWatchguard Firebox M570
HWWatchguardwszystkie wersjeWatchguard Firebox M5800
HWWatchguardwszystkie wersjeWatchguard Firebox M590
HWWatchguardwszystkie wersjeWatchguard Firebox M670
HWWatchguardwszystkie wersjeWatchguard Firebox M690
HWWatchguardwszystkie wersjeWatchguard Firebox Nv5
HWWatchguardwszystkie wersjeWatchguard Firebox T115 W
HWWatchguardwszystkie wersjeWatchguard Firebox T125
HWWatchguardwszystkie wersjeWatchguard Firebox T125 W
HWWatchguardwszystkie wersjeWatchguard Firebox T145
HWWatchguardwszystkie wersjeWatchguard Firebox T145 W
HWWatchguardwszystkie wersjeWatchguard Firebox T15
HWWatchguardwszystkie wersjeWatchguard Firebox T185
HWWatchguardwszystkie wersjeWatchguard Firebox T20
HWWatchguardwszystkie wersjeWatchguard Firebox T25
HWWatchguardwszystkie wersjeWatchguard Firebox T35
HWWatchguardwszystkie wersjeWatchguard Firebox T40
HWWatchguardwszystkie wersjeWatchguard Firebox T45
HWWatchguardwszystkie wersjeWatchguard Firebox T55
HWWatchguardwszystkie wersjeWatchguard Firebox T70
HWWatchguardwszystkie wersje
CISA KEV — szczegółyi
- Dostawcai
- WatchGuard
- Produkti
- Firebox
- Data dodania do KEVi
- 19 grudnia 2025
- Termin remediation (USA)i
- 26 grudnia 2025(po terminie)
Zastosuj mitygacje zgodnie z instrukcjami producenta, postępuj zgodnie z wytycznymi BOD 22-01 dla usług w chmurze lub zaprzestań korzystania z produktu, jeśli mitygacje są niedostępne.
▸ Pokaż oryginał (EN)
Apply mitigations per vendor instructions, follow applicable BOD 22-01 guidance for cloud services, or discontinue use of the product if mitigations are unavailable.
WatchGuard Fireware OS - proces iked zawiera podatność out of bounds write w procesie OS iked. Ta podatność może pozwolić zdalnemu, nieuwierzytelnionemu atakującemu na wykonanie arbitralnego kodu i dotyczy zarówno mobilnego VPN użytkownika z IKEv2, jak i firemnego VPN oddziału wykorzystującego IKEv2 skonfigurowany z dynamicznym perem bramy.
▸ Pokaż oryginał (EN)
WatchGuard Fireware OS iked process contains an out of bounds write vulnerability in the OS iked process. This vulnerability may allow a remote unauthenticated attacker to execute arbitrary code and affects both the mobile user VPN with IKEv2 and the branch office VPN using IKEv2 when configured with a dynamic gateway peer.
Powiązane podatności
RCE przez Out-of-bounds Write w WatchGuard Fireware OS (IKEv2 VPN)
On WatchGuard Firebox and XTM appliances, an unauthenticated user can execute arbitrary code, aka FBX-22786. T...
An integer overflow in WatchGuard Firebox and XTM appliances allows an unauthenticated remote attacker to trig...
WatchGuard Firebox and XTM appliances allow an unauthenticated remote attacker to delete arbitrary files from ...
WatchGuard Firebox and XTM appliances allow a remote attacker with unprivileged credentials to access the syst...