Krytyczna luka w WatchGuard Firebox (CVE-2025-9242) jest aktywnie wykorzystywana. Jak się bronić?

Wprowadzenie do problemu / definicja luki

W urządzeniach WatchGuard Firebox (system Fireware OS) wykryto lukę CVE-2025-9242 o krytycznym poziomie ryzyka (CVSS 9.3), która umożliwia zdalne wykonanie kodu bez uwierzytelnienia poprzez błąd out-of-bounds write w procesie iked (obsługa IKEv2/IPsec dla Mobile User VPN i Branch Office VPN). CISA dodała już podatność do katalogu Known Exploited Vulnerabilities (KEV) na podstawie dowodów aktywnego wykorzystywania w atakach.

W skrócie

• Co: Out-of-bounds write w iked (IKEv2), prowadzący do RCE bez uwierzytelniania.
• Kogo dotyczy: Fireware OS 11.10.2–11.12.4_U1, 12.0–12.11.3, 2025.1 (różne modele Firebox). Naprawione w 2025.1.1, 12.11.4, 12.5.13 (T15/T35), 12.3.1_Update3 (B722811); gałąź 11.x – EoL.
• Wejście atakującego: Ruch IKEv2 z Internetu na UDP/500 i UDP/4500 (NAT-T).
• Status: Aktywnie wykorzystywana; CISA/KEV wymaga szybkiej aktualizacji.
• Ekspozycja: Shadowserver raportował >73k niezałatanych Fireboxów widocznych w Internecie w październiku.

Kontekst / historia / powiązania

WatchGuard opublikował poradnik PSIRT 17 września 2025 r., a 21 października 2025 r. zaktualizował go o wskaźniki ataku (IoA) i zalecenie rotacji lokalnie przechowywanych sekretów (np. hasła, pre-shared keys) „z ostrożności”, po sygnałach o realnych próbach eksploatacji. 13 listopada 2025 r. dołączenie do CISA KEV potwierdziło etap aktywnego nadużycia.

Równolegle watchTowr opublikował techniczną analizę i reprodukcję błędu, ułatwiającą zrozumienie prymitywu pamięci, który stoi za RCE.

Analiza techniczna / szczegóły luki

Wejście: komunikaty IKE_AUTH w trakcie zestawiania IKEv2. Błąd out-of-bounds write w implementacji iked można wywołać manipulując polami ładunku IDi (identyfikator inicjatora) – udokumentowanym wskaźnikiem podejścia jest nienaturalnie duży rozmiar IDi (>100 bajtów) w logach diagnostycznych. Udana eksploatacja może spowodować zawieszenie lub crash procesu iked, a w wektorze RCE – wykonanie kodu w kontekście urządzenia.

Warunek konfiguracji: Podatność dotyczy Mobile User VPN (IKEv2) i BOVPN (IKEv2) z dynamicznym peerem. Co istotne, choćby po usunięciu takich konfiguracji urządzenie może pozostać podatne, jeżeli przez cały czas istnieje BOVPN do statycznego peera.

Zakres wersji i poprawki: jw. (sekcja „W skrócie”). Gałąź 11.x jest EoL – brak poprawek producenta.

Dowody wykorzystania: wpis w CISA KEV oraz doniesienia branżowe; SecurityWeek wskazuje na decyzję CISA nakazującą pilną aktualizację w instytucjach federalnych (BOD 22-01).

Praktyczne konsekwencje / ryzyko

• Przejęcie perymetru: RCE na firewallu = pełna kontrola nad ruchem, podsłuch/mitm, pivot do sieci wewnętrznej.
• Wyłączenie VPN / zakłócenia: zawieszanie/crash iked przerywa tunele BOVPN i dostęp zdalny.
• Masowa skala ataku: dziesiątki tysięcy urządzeń w Internecie, atrakcyjny cel dla ransomware/APT (brak uwierzytelnienia, stałe UDP).

Rekomendacje operacyjne / co zrobić teraz

0) Priorytet i okno serwisowe
Traktuj jako P1. Zaplanuj szybkie prace: upgrade + rotacja sekretów.

1) Szybka inwentaryzacja i wykrywanie

• Zidentyfikuj wszystkie Fireboxy z interfejsem WAN mającym UDP/500 i UDP/4500 otwarte do Internetu.
• Sprawdź wersję Fireware OS i konfigurację VPN (czy używasz IKEv2 oraz dynamic peers).
• Przejrzyj logi iked pod kątem IoA od WatchGuard: „IKE_AUTH request … IDi(sz=…>100)”, zawieszenia lub crashe iked. (Włącz poziom Info dla diagnostyki iked, jeżeli to konieczne).

Przykładowe zapytania (do szybkiego łapania IoA w SIEM):

• Syslog / Splunk index=network_logs sourcetype=watchguard:iked "IKE_AUTH request" IDi(sz=* | rex "IDi\\(sz=(?<idi>\d+)\\)" | where tonumber(idi) > 100
• Elastic (KQL) message : "*IKE_AUTH request*" and message : "*IDi(sz=*"
• tcpdump – szybka inspekcja IKEv2 (porty i długości) Uwaga: rozmiary payloadów IKEv2 nie są „z pudełka” parsowane; użyj do triage’u i korelacji z logami. tcpdump -ni any udp port 500 or udp port 4500

2) Aktualizacja (remediacja adekwatna)

• Zaktualizuj do 2025.1.1 / 12.11.4 / 12.5.13 / 12.3.1_Update3 zgodnie z tabelą WatchGuard PSIRT. Dla 11.x – wymiana/upgrade platformy (EoL, brak łat). Po aktualizacji zrestartuj i zweryfikuj wersję.

3) Rotacja sekretów (po aktualizacji)

• WatchGuard zaleca rotację wszystkich lokalnie przechowywanych sekretów (hasła, PSK, klucze) „z ostrożności”. Zacznij od PSK dla BOVPN/MUVPN oraz haseł administratorów.

4) Dodatkowe twardnienie i ograniczenie powierzchni ataku

• Dostęp IKEv2 tylko z zaufanych adresów (listy peerów/ACL na brzegowym FW/WAF, o ile architektura pozwala).
• Rate-limit dla UDP/500, 4500 na zewnętrznych interfejsach (nftables/iptables) – utrudnia bruteforce i rozpoznanie: # nftables – ratelimiting IKEv2 (przykład) nft add table inet edge nft add chain inet edge input { type filter hook input priority 0 \; } nft add rule inet edge input udp dport {500,4500} ct state new limit rate 20/second accept nft add rule inet edge input udp dport {500,4500} drop
• Monitoring integralności i wysoki poziom logowania iked przynajmniej tymczasowo.

5) Doraźne obejścia (gdy nie możesz od razu patchować)

• Jeśli używasz wyłącznie BOVPN do statycznych peerów, zastosuj wytyczne producenta dot. „Secure Access to BOVPN IKEv2” jako tymczasowe ograniczenie ryzyka. (Nie zastępuje aktualizacji!)

6) Wykrywanie w sieci (IDS/IPS) – przykładowa reguła Suricata

Heurystyka: nieproporcjonalnie duże IDi w IKE_AUTH. Reguła orientacyjna – wymaga testów i dostrojenia w danym środowisku.

alert udp any any -> $HOME_NET [500,4500] ( msg:"IKEv2 anomaly: oversized IDi in IKE_AUTH (WatchGuard CVE-2025-9242 heuristic)"; flow:to_server; dsize:>600; # heurystyczny próg długości pakietu content:"|2f|"; offset:0; depth:1; # IKEv2 major/minor wersja w pierwszym bajcie: 0x2F (IKE_SA?); DEMO classtype:attempted-admin; sid:25259242; rev:1; )

(IKEv2 nie ma banalnego „sygnaturowego” pola dla IDi bez pełnego parsowania – potraktuj to jako punkt startowy do własnej inspekcji).

7) Skany zewnętrzne / wykrywacze

• Zespół watchTowr udostępnił skrypt pomocniczy do weryfikacji podatności (detekcja warunku wersji/konfiguracji) – używaj wyłącznie we własnej infrastrukturze.

Różnice / porównania z innymi przypadkami (jeśli dotyczy)

• Charakter wektora: podobnie jak dawne łańcuchy RCE w Fortinet/Citrix, tutaj także mamy unauthenticated edge RCE na urządzeniu brzegowym. Różnica: specyfika IKEv2 i prymityw pamięci w iked.
• Stan publicznych PoC: w chwili pisania brak szeroko dostępnego, w pełni działającego PoC RCE; istnieją analizy i reprodukcje badaczy (watchTowr), a CISA raportuje realne wykorzystanie. To klasyczny etap „patch now, ask later”.

Podsumowanie / najważniejsze wnioski

1. CVE-2025-9242 to krytyczna luka RCE w WatchGuard Firebox/Fireware OS w komponencie IKEv2 (iked).
2. Jest aktywnie wykorzystywana; CISA wpisała ją do KEV – traktuj jako incydent prewencyjny o najwyższym priorytecie.
3. Aktualizuj do wersji naprawionych i rotuj sekrety; dla EoL 11.x – zaplanuj wymianę.
4. Zastosuj dodatkowe kontrole (ACL/ratelimity/monitoring IoA) do czasu pełnego wdrożenia poprawek.
5. Weryfikuj logi iked pod kątem anomalii (duży IDi) oraz stabilność procesu – to praktyczne IoA od producenta.

Źródła / bibliografia

1. WatchGuard PSIRT – „WatchGuard Firebox iked Out of Bounds Write Vulnerability (WGSA-2025-00015)” – zakres wersji, IoA, zalecenia (akt. 7 XI i 21 X 2025). (watchguard.com)
2. CISA – Alert/KEV: dodanie CVE-2025-9242 jako aktywnie wykorzystywanej (13 XI 2025). (CISA)
3. SecurityWeek – „Critical WatchGuard Firebox Vulnerability Exploited in Attacks” (13 XI 2025). (SecurityWeek)
4. Shadowserver – obserwacje skali ekspozycji (73k+ niezałatanych Fireboxów). (SecurityWeek)
5. watchTowr labs – analiza techniczna i reprodukcja błędu IKEv2/iked. (watchTowr Labs)