Source:https://thehackernews.com/2025/11/cisa-flags-critical-watchguard-fireware.html
🛡 概要
米CISAは、WatchGuard Firewareにおける重大な脆弱性CVE-2025-9242(CVSS 9.3)が実際に悪用されている証拠を確認し、KEV(既知悪用脆弱性)カタログに追加しました。影響範囲はFireware OS 11.10.2〜11.12.4_Update1、12.0〜12.11.3、および2025.1で、ベンダーは2025年9月に修正を提供済みです。Shadowserverの観測では、2025年11月12日時点で5万4,300超のFireboxが依然として露出しています。FCEB機関は12月3日までの適用が求められています。併せて、Windows KernelのCVE-2025-62215(CVSS 7.0)とGladinet TriofoxのCVE-2025-12480(CVSS 9.1)もKEVに追加されました。
🔍 技術詳細
本欠陥は、FirewareのIKEデーモン(iked)に存在する境界外書き込み(out-of-bounds write)で、IKEハンドシェイク処理中に用いられるIDi(Initiator Identification)ペイロードの長さ検証が欠落していることに起因します。証明書検証は行われるものの、脆弱なコードパスの後段で実施されるため、認証前でも攻撃トリガが到達可能です。結果として、攻撃者はUDP/500(ISAKMP)やUDP/4500(NAT-T)で公開されたFireboxに対し、過大なIDiペイロードを含む細工パケットを送信するだけで、ikedプロセスのメモリ破壊を誘発し、任意コード実行に至る恐れがあります。WatchGuardの更新アドバイザリでは、以下の侵害兆候(IoC)が共有されています。1) IKE_AUTHリクエストのログにおいて、IDiペイロード長が100バイト超と異常に大きい記録が残る 2) 悪用成功時、ikedがハングしVPN接続が中断される 3) 成否を問わず、ikedがクラッシュしてFirebox上にフォルトレポートが生成される。これらは、認証レスで到達可能なサービスに対するOOB書き込みの典型的挙動(クラッシュ/ハング)とも整合します。影響バージョンは11.10.2〜11.12.4_Update1、12.0〜12.11.3、2025.1で、当該欠陥は2025年9月の修正リリースで解消されています。なお、本件は周辺のWAFでは緩和できず、VPN/IKEサービス自体の更新・露出制御が必須です。
⚠ 影響
認証前のRCEにより、境界デバイスであるFireboxが乗っ取られるリスクがあります。実害として、VPN中断(業務停止)、設定改ざん、通信の盗聴・改変、他ネットワークへの横展開の踏み台化などが想定されます。実際にikedのハング/クラッシュ(サービス停止)がIoCとして確認されています。
🛠 対策
- パッチ適用:WatchGuardが9月に公開した修正版/最新Hotfixへの即時更新(対象バージョンはベンダー告知に準拠)。FCEBは12/3期限。
- 露出最小化:インターネット側のUDP/500, 4500を必要サイトに限定(地理/ASN制限、ソースIP許可リスト、GeoIP/ACL)。不要なリモートアクセスVPN/IKEは無効化。
- 監視強化:IKE_AUTHのIDiペイロード長異常(>100B)、ikedクラッシュ/フォルトレポート、UDP/500/4500へのスキャン急増を相関監視。
- インシデント対応:IoC検出時は境界機器を隔離→ファーム/OSリイメージ、設定のクリーン復元、管理資格情報全更新、証跡保全。
- 構成ハードニング:最小権限の管理、MFA必須化、外部管理インターフェースの閉塞、バックアップと復旧手順の演習。
📌 SOC視点
- ログ源:Firebox/Fireware syslog、IKE/ikedログ、クラッシュ/フォルトレポート、ネットワークフロー(UDP/500,4500)、境界IDS/IPS。
- 検知ヒント:1) IKE_AUTHにおけるIDi長>100Bのイベント 2) ikedの異常終了/再起動 3) VPNトンネル切断急増 4) 単一ソースからのIKE_INIT/IKE_AUTHバースト。
- 相関:異常IKEイベント→プロセスクラッシュ→外向き不審通信(新規ドメイン/未知AS)を時間相関。
- 封じ込め:該当デバイスのUDP/500,4500を一時遮断、代替経路で業務継続しつつフォレンジック取得。
📈 MITRE ATT&CK
- Initial Access: Exploit Public-Facing Application(T1190)— インターネット公開されたIKEサービス(iked)に対する認証前RCEが可能であるため。
- Impact: Service Stop(T1489)— 悪用過程でikedがハング/クラッシュし、VPNサービスが中断される事象がIoCとして確認されているため。
🏢 組織規模別助言
- 小規模(〜50名):メンテナンス時間を確保し即日更新。UDP/500,4500は固定元IPのみに制限。マネージドSOC/MSPにIoC監視を委託。
- 中規模(50〜500名):段階的ロールアウト(HAの片系→全系)。SIEMでIKE異常のルール実装。バックアウト計画と構成バックアップを事前取得。
- 大規模(500名以上):全拠点在庫・露出資産の即時棚卸し、CAB承認の緊急パッチ窓を設定。ゼロタッチでの一括更新、自動コンプライアンスレポート化。境界分離と一時的地理ブロックを併用。
🔎 類似事例
- CVE-2025-62215(Windows Kernel, CVSS 7.0):KEV追加。
- CVE-2025-12480(Gladinet Triofox, CVSS 9.1):KEV追加。MandiantはUNC6485による悪用を観測。
- CVE-2023-28771(Zyxel IKE, pre-auth RCE):IKE処理の欠陥悪用として類似。
- CVE-2022-23176(WatchGuard Firebox関連):過去に国家主体が悪用した前例がある関連事例。
🧭 次の一手
まず自社のFirebox露出状況(UDP/500,4500)とバージョンを棚卸しし、ベンダーの最新修正版へ更新してください。次にSIEMへIoC(IDi>100B、ikedクラッシュ)検知ルールを実装。最後にKEV対応の標準運用(資産→優先度→パッチSLA→検証)を整備し、Triofox/Windows Kernel含む同日追加CVEの影響評価も同時に進めましょう。
