CRITICAL🚩 CISA KEV⚡ EXPLOIT✓ PATCH🇬🇧 English

CVE-2025-9242

RCE przez Out-of-bounds Write w WatchGuard Fireware OS (IKEv2 VPN)

CVSS 9.3v4.0pub. 2025-09-17upd. 2025-11-14

Krytyczna podatność typu Out-of-bounds Write w systemie WatchGuard Fireware OS umożliwia zdalnemu, nieuwierzytelnionemu atakującemu wykonanie dowolnego kodu na urządzeniu. Luka jest aktywnie wykorzystywana w atakach i dotyczy komponentów VPN opartych na IKEv2.

Pokaż oryginał (EN)

An Out-of-bounds Write vulnerability in WatchGuard Fireware OS may allow a remote unauthenticated attacker to execute arbitrary code. This vulnerability affects both the Mobile User VPN with IKEv2 and the Branch Office VPN using IKEv2 when configured with a dynamic gateway peer.This vulnerability affects Fireware OS 11.10.2 up to and including 11.12.4_Update1, 12.0 up to and including 12.11.3 and 2025.1.

🤖 Analiza AI
Jak działa

Błąd zapisu poza granicami bufora (CWE-787) występuje w obsłudze protokołu IKEv2, który jest używany zarówno przez Mobile User VPN, jak i Branch Office VPN skonfigurowany z dynamicznym peerem bramy. Atakujący może wysłać specjalnie spreparowany pakiet IKEv2 do urządzenia bez żadnego uwierzytelnienia, co prowadzi do nadpisania pamięci poza przeznaczonym buforem. Skutkiem jest możliwość przejęcia kontroli nad przepływem wykonania kodu w systemie operacyjnym Fireware.

Skutki

Atakujący może zdalnie wykonać dowolny kod (RCE) z uprawnieniami systemu na podatnym urządzeniu WatchGuard Firebox, co prowadzi do pełnego przejęcia kontroli nad urządzeniem, w tym nad ruchem sieciowym przez nie przechodzącym.

Mitygacja

Należy zastosować patche dostępne u producenta zgodnie z referencjami (advisory WatchGuard WGSA-2025-00015 pod adresem watchguard.com/wgrd-psirt/advisory/wgsa-2025-00015). Ze względu na aktywne wykorzystywanie podatności w atakach oraz dostępność publicznego exploita, aktualizacja powinna zostać wdrożona natychmiastowo. Jeśli natychmiastowa aktualizacja jest niemożliwa, należy rozważyć wyłączenie lub ograniczenie dostępu do funkcji IKEv2 VPN od strony sieci zewnętrznej.

Kogo dotyczy

WatchGuard Firebox T70, M440, M370, M690, M470 z systemem Fireware OS w wersjach: 11.10.2 do 11.12.4_Update1 włącznie, 12.0 do 12.11.3 włącznie oraz 2025.1

Uwagi

Publicznie dostępny jest kod exploita opublikowany przez watchTowr Labs w repozytorium GitHub (watchtowrlabs/watchTowr-vs-WatchGuard-CVE-2025-9242). Podatność figuruje w katalogu CISA Known Exploited Vulnerabilities.

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X
  • Watchguard Fireboxcloud

    HW
    Watchguard
    wszystkie wersje
  • Watchguard Firebox M270

    HW
    Watchguard
    wszystkie wersje
  • Watchguard Firebox M290

    HW
    Watchguard
    wszystkie wersje
  • Watchguard Firebox M370

    HW
    Watchguard
    wszystkie wersje
  • Watchguard Firebox M390

    HW
    Watchguard
    wszystkie wersje
  • Watchguard Firebox M440

    HW
    Watchguard
    wszystkie wersje
  • Watchguard Firebox M4600

    HW
    Watchguard
    wszystkie wersje
  • Watchguard Firebox M470

    HW
    Watchguard
    wszystkie wersje
  • Watchguard Firebox M4800

    HW
    Watchguard
    wszystkie wersje
  • Watchguard Firebox M5600

    HW
    Watchguard
    wszystkie wersje
  • Watchguard Firebox M570

    HW
    Watchguard
    wszystkie wersje
  • Watchguard Firebox M5800

    HW
    Watchguard
    wszystkie wersje
  • Watchguard Firebox M590

    HW
    Watchguard
    wszystkie wersje
  • Watchguard Firebox M670

    HW
    Watchguard
    wszystkie wersje
  • Watchguard Firebox M690

    HW
    Watchguard
    wszystkie wersje
  • Watchguard Firebox Nv5

    HW
    Watchguard
    wszystkie wersje
  • Watchguard Firebox T115 W

    HW
    Watchguard
    wszystkie wersje
  • Watchguard Firebox T125

    HW
    Watchguard
    wszystkie wersje
  • Watchguard Firebox T125 W

    HW
    Watchguard
    wszystkie wersje
  • Watchguard Firebox T145

    HW
    Watchguard
    wszystkie wersje
  • Watchguard Firebox T145 W

    HW
    Watchguard
    wszystkie wersje
  • Watchguard Firebox T15

    HW
    Watchguard
    wszystkie wersje
  • Watchguard Firebox T185

    HW
    Watchguard
    wszystkie wersje
  • Watchguard Firebox T20

    HW
    Watchguard
    wszystkie wersje
  • Watchguard Firebox T25

    HW
    Watchguard
    wszystkie wersje
  • Watchguard Firebox T35

    HW
    Watchguard
    wszystkie wersje
  • Watchguard Firebox T40

    HW
    Watchguard
    wszystkie wersje
  • Watchguard Firebox T45

    HW
    Watchguard
    wszystkie wersje
  • Watchguard Firebox T55

    HW
    Watchguard
    wszystkie wersje
  • Watchguard Firebox T70

    HW
    Watchguard
    wszystkie wersje

CISA KEV — szczegółyi

Dostawcai
WatchGuard
Produkti
Firebox
Data dodania do KEVi
12 listopada 2025
Termin remediation (USA)i
3 grudnia 2025(po terminie)
Wymagana akcja (CISA)i

Zastosuj mitygacje zgodnie z instrukcjami producenta, postępuj zgodnie z wytycznymi BOD 22-01 dla usług chmurowych lub zaprzestań używania produktu, jeśli mitygacje są niedostępne.

tłumaczenie AI
Pokaż oryginał (EN)

Apply mitigations per vendor instructions, follow applicable BOD 22-01 guidance for cloud services, or discontinue use of the product if mitigations are unavailable.

Opis CISAi

Zapora ogniowa WatchGuard Firebox zawiera lukę out-of-bounds write w procesie OS iked, która może pozwolić zdalnym nieuwierzytelnionym atakującym na wykonanie dowolnego kodu.

tłumaczenie AI
Pokaż oryginał (EN)

WatchGuard Firebox contains an out-of-bounds write vulnerability in the OS iked process that may allow a remote unauthenticated attacker to execute arbitrary code.

🔴
NATYCHMIASTOWE DZIAŁANIE
Aktywnie wykorzystywane w atakach (CISA KEV). Załataj jak najszybciej.
CISA DEADLINE: 3 grudnia 2025
Tagi
RCEAuth BypassMemoryVPN
CWE
Referencje

Powiązane podatności

CVE-2025-14733CRITICAL9.3⚠ KEVPL ✓ten sam produkt

RCE bez uwierzytelnienia w WatchGuard Fireware OS – podatność IKEv2 VPN

CVE-2022-26318CRITICAL9.8⚠ KEVten sam produkt

On WatchGuard Firebox and XTM appliances, an unauthenticated user can execute arbitrary code, aka FBX-22786. T...

CVE-2022-31789CRITICAL9.8ten sam produkt

An integer overflow in WatchGuard Firebox and XTM appliances allows an unauthenticated remote attacker to trig...

CVE-2022-25361CRITICAL9.1ten sam produkt

WatchGuard Firebox and XTM appliances allow an unauthenticated remote attacker to delete arbitrary files from ...

CVE-2022-23176HIGH8.8⚠ KEVten sam produkt

WatchGuard Firebox and XTM appliances allow a remote attacker with unprivileged credentials to access the syst...