PR

WatchGuard Fireboxの重大RCE脆弱性CVE-2025-14733が未対策11万超

Security

Source:https://www.bleepingcomputer.com/news/security/over-115-000-watchguard-firewalls-vulnerable-to-ongoing-rce-attacks/

🛡 概要

WatchGuard Firebox/Fireware OSにおける重大なリモートコード実行(RCE)脆弱性 CVE-2025-14733 が、公開後も広範に未対策です。インターネット露出したFireboxのうち少なくとも約124,658台が未パッチ、翌日時点でも117,490台が露出状態と観測されています。ベンダーは「実際に悪用中」と明言し、CISAはKEV(既知悪用脆弱性)に追加、米連邦機関に対しBOD 22-01に基づく緊急パッチ(期限:12月26日)を指示しました。CVSSスコアは執筆時点で未公表ですが、影響はクリティカルです。

🔍 技術詳細

本件はFireware OSの IKEv2(IPsec)処理を担う iked プロセスにおけるメモリ境界外書き込み(out-of-bounds write)に起因します。細工されたIKEv2パケットを受信するとメモリ破損が生じ、認証不要・低複雑度でリモートから任意コード実行に至る可能性があります。影響バージョンは 11.x(11.12.4_Update1を含む)、12.x(12.11.5を含む)および 2025.1〜2025.1.3 とされ、いずれも IKEv2 を有効化している場合に攻撃対象となります。対象機能は「Mobile User VPN(IKEv2)」および「BOVPN(Branch Office VPN)」。特にダイナミックゲートウェイピア構成のBOVPNは影響を受けやすく、ベンダーは「脆弱な設定を外しても、静的ゲートウェイピアのBOVPNが残っていると依然リスクがあり得る」と注意喚起しています。

攻撃は主にUDP/500およびUDP/4500(NAT-T)で到達し、パブリックに露出したFireboxが入口になります。成功すると攻撃者はファイアウォール上で任意のコードを実行でき、設定改ざん、トンネル乗っ取り、内部ネットワークへの横展開の踏み台化などに繋がり得ます。WatchGuardはIoCを公開し、侵害の兆候が見つかった場合はデバイス上に保存された秘密情報(PSK、証明書、ローカルアカウント資格情報等)の総入れ替え(ローテーション)を推奨しています。パッチ適用が即時にできない場合の暫定対策として、ダイナミックピアBOVPNの無効化、VPNトラフィックを扱うデフォルトシステムポリシーの無効化、新たな厳格なファイアウォールポリシーの追加などが案内されています。

なお、WatchGuardは2025年9月にも類似のRCE(CVE-2025-9242)を修正しており、その後も多数の未対策機器が露出していました。さらに2022年にはCVE-2022-23176に対してもCISAが緊急対応を要請しており、同系統プロトコル境界での脆弱性悪用が継続的な攻撃ベクターになっている点に留意が必要です。

⚠ 影響

  • 境界デバイスの完全制御(設定改ざん、ポリシー無効化、トンネルの乗っ取り)
  • 内部ネットワークへの横展開の足掛かり(管理セグメント・サーバ群への到達リスク)
  • VPN経路の盗聴・中間者化の可能性、資格情報・鍵素材の漏えい懸念(要ローテーション)
  • サービス停止(ikedクラッシュや再起動誘発)による可用性低下、業務影響・SLA違反
  • 規制順守・監査対応コストの増加、インシデント対応負荷の増大

🛠 対策

  • 最優先:ベンダー提供のCVE-2025-14733対策ビルドへ即時アップグレード(メンテナンスウィンドウを待たず計画的緊急適用)。
  • 暫定回避(適用できない場合):ダイナミックピアBOVPNを無効化、VPN関連のデフォルトシステムポリシーを無効化、必要最小限の明示許可ポリシーを追加。
  • 露出面の縮小:UDP/500, 4500を対向ピアの固定IPへ厳格に許可制限、不要なIKEv2機能を停止、地域制限(Geo-IP)とレート制御を導入。
  • 秘密情報の保全:PSK、証明書、ローカルアカウント、APIキー等を総ローテーション。侵害疑い時はクリーンイメージで再導入。
  • 監視強化:ベンダー公開IoCの取り込み、SIEMでIKE失敗増加や未知ピアからのネゴシエーション急増を検知。
  • 運用基盤:バックアップ/復元手順の検証、変更管理(誰がいつIKEv2/BOVPNを有効化したか)を可視化。

CVSS:未公表(執筆時点)。公開次第、リスク評価と優先度の再見直しを行ってください。

📌 SOC視点

  • ネットワーク監視:宛先が境界FWのUDP/500/4500へのスキャン/試行の急増、同一送信元からの反復的なIKE_SA_INIT/再送の異常。
  • デバイスログ:IKEv2ネゴシエーション失敗の急増、異常な提案(暗号スイート)や不正なピア識別子、BOVPNトンネルの予期せぬ生成/ダウン/アップの反復。
  • 安定性兆候:ikedプロセスのクラッシュ/再起動、コアダンプ発生、メモリ関連エラーの通知。
  • 構成監査:IKEv2およびBOVPNの有効化/変更イベント、ポリシーの無効化や新規ポリシー追加の突発的増加。
  • 横展開検知:FW自身から内部宛てに生じる不審な管理通信(SMB/RDP/WinRM/SSH)や新規アウトバウンドC2通信の出現。
  • IoC対応:WatchGuardが公開したハッシュ、ドメイン、振る舞いシグナルをSIEM/IDSへ投入し、過去90日以上を遡及検索。

📈 MITRE ATT&CK

  • TA0001 初期アクセス / T1190 Exploit Public-Facing Application(IKEv2サービスは外部公開境界で稼働。未認証で細工パケットを送ることで侵入起点となるため)
  • TA0003 永続化・TA0004 権限昇格(成功後にデバイス上で持続化/高権限化が図られる可能性がある。詳細な手口は個別事例依存のため要確認)
  • TA0011 C2 / T1105 Ingress Tool Transfer(侵入後に追加ペイロードやツールを取得して機能拡張する常套手段。境界装置でも観測されうる)
  • TA0008 偵察/横移動 / T1021 Remote Services, T1210 Exploitation of Remote Services(踏み台化した境界から内部サービス悪用に進むリスク)

🏢 組織規模別助言

  • 小規模(〜50名):外部公開のFireboxを即時メンテナンス。IKEv2を当面停止できるなら停止。MSP/販売パートナーに緊急パッチ適用と設定見直しを依頼し、PSK/証明書を全更新。
  • 中規模(50〜500名):変更凍結解除の緊急CABを開催し、影響時間帯を定めて段階的に更新。SIEMにIoCを取り込み、UDP/500/4500のアラートを運用監視に常設。
  • 大規模(500名以上):全拠点のFirebox台帳を即時照合し、IKEv2/BOVPN構成の有無で優先度キューを作成。SOCでハント(過去通信と構成変更)を実施し、必要に応じてセグメント隔離とロールバック計画を準備。

🔎 類似事例

  • CVE-2025-9242(WatchGuard FireboxのIKEv2関連RCE、2025年秋に修正。未対策機器が数万台規模で露出)
  • CVE-2022-23176(WatchGuard Firebox/XTMの脆弱性、CISAがKEV登録・緊急対応を要請)
  • CVE-2023-28771(ZyxelファイアウォールのIKEパケット処理RCE。IKEv2境界でのメモリ破損悪用の代表例)

🧭 次の一手

  • 直ちに資産台帳を用いて影響デバイスを特定し、ベンダー修正を適用。
  • 適用までの間はダイナミックピアBOVPN停止、VPNデフォルトポリシー無効化と厳格な許可リスト化。
  • IoCを取り込み、IKEv2/BOVPNの失敗・再試行スパイクをハント。異常があれば秘密情報を全面ローテーション。
  • 次に読むべき:IKEv2/IPsec運用のハードニングチェックリスト、境界装置の露出最小化ガイド、SIEMでのIKEv2可視化手順。