Ponad 73 tys. firewalli WatchGuard Firebox narażonych na krytyczną lukę (CVE-2025-9242). Co musisz zrobić teraz

Wprowadzenie do problemu / definicja luki

Krytyczna podatność CVE-2025-9242 w systemie WatchGuard Fireware OS (komponent iked) umożliwia zdalne wykonanie kodu bez uwierzytelniania na urządzeniach Firebox. Problem dotyczy konfiguracji IKEv2 (Mobile User VPN i Branch Office VPN) z dynamicznym peerem i – co istotne – urządzenie może pozostać podatne choćby po usunięciu takich tuneli, jeżeli wciąż istnieje BOVPN do statycznego peera. Producent oznaczył ryzyko jako Critical (CVSS v4.0: 9.3).

W skrócie

• Skala: ponad 73 000 – 75 000 wystawionych Fireboxów wciąż podatnych w Internecie (stan na 19–20 października 2025). Najwięcej w USA (~24k), dalej Niemcy (~7k), Włochy (~6,5k), UK (~5,3k), Kanada (~3,9k).
• Wpływ: zdalne RCE bez uwierzytelniania przez usługę dostęp­ną z Internetu (IKEv2).
• Wersje podatne: 11.10.2–11.12.4_Update1, 12.0–12.11.3, 2025.1.
• Wersje naprawione: 2025.1.1, 12.11.4, 12.5.13 (T15/T35), 12.3.1_Update3 (B722811).
• Status: producent potwierdził oznaki aktywnego wykorzystywania (aktualizacja z 21 października 2025).

Kontekst / historia / powiązania

WatchGuard 17 września 2025 r. opublikował aktualizacje Fireware OS naprawiające CVE-2025-9242 oraz wpis PSIRT. Później producent uzupełnił komunikat o wskaźniki ataku (IoA) i zalecenia rotacji sekretów, wskazując na potencjalny aktywny exploitation. Równolegle badacze (m.in. watchTowr) opublikowali analizę techniczną, a Shadowserver zaczął raportować liczbę przez cały czas podatnych, publicznie widocznych Fireboxów.

Analiza techniczna / szczegóły luki

• Typ błędu: out-of-bounds write w procesie iked odpowiedzialnym za obsługę IPsec/IKEv2. Błąd pozwala na nadpisanie pamięci i uzyskanie RCE bez poświadczeń.
• Wektor ataku: ruch IKEv2 z Internetu; podatność dotyczy scenariuszy z dynamicznym gateway peerem (Mobile User VPN IKEv2 i/lub BOVPN IKEv2).
• „Lepkość” konfiguracji: choćby po usunięciu konfiguracji z dynamicznym peerem, urządzenie może pozostać podatne, gdy istnieje BOVPN do statycznego peera — pułapka konfiguracyjna istotna przy audycie.
• IoA (od WatchGuard):
  • nienaturalnie duża długość ładunku IDi w logu IKE_AUTH (>100 bajtów),
  • zawieszenie procesu IKED (przerwy w VPN),
  • crash IKED i raport błędu (słabszy wskaźnik).

Praktyczne konsekwencje / ryzyko

• Przejęcie urządzenia brzegowego (NGFW/UTM) i eskalacja do ruchu „north-south” oraz pivot do sieci wewnętrznej.
• Wyłączenie lub obejście polityk bezpieczeństwa, wstrzykiwanie reguł, przechwytywanie VPN.
• Kampanie masowe: charakter unauth RCE + powszechna ekspozycja IKEv2 sprzyjają automatyzacji skanów i robociej eksploatacji (Shadowserver widzi dziesiątki tysięcy hostów).
• Producent wprost ostrzega o aktywnym wykorzystywaniu i zaleca rotację lokalnie przechowywanych sekretów.

Rekomendacje operacyjne / co zrobić teraz

1. Natychmiastowa aktualizacja Fireware OS do wersji zawierającej łatę: 2025.1.1 / 12.11.4 / 12.5.13 / 12.3.1_Update3 (modele wg listy w PSIRT).
2. Rotacja sekretów (lokalne hasła/kontenery kluczy/PSK) na urządzeniach, które były podatne — zgodnie z wytycznymi WatchGuard.
3. Kontrola ekspozycji: ogranicz dostęp do IKEv2 z Internetu (ACL/geo-IP/allow-list), rozważ port-knocking lub IPSec over GRE tylko między znanymi peerami. (Wniosek operacyjny na podstawie natury błędu i zaleceń producenta.)
4. Weryfikacja konfiguracji: sprawdź, czy w przeszłości istniały dynamiczne peery IKEv2; choćby jeżeli usunięte, urządzenie mogło pozostać podatne przy aktywnym BOVPN do statycznego peera.
5. Monitoring i hunting:
   • przeszukaj logi iked pod kątem IDi >100 B,
   • koreluj hang/crash procesu IKED z czasem nietypowych IKE_AUTH,
   • nasłuchuj anomalii w ruchu zarządzającym Fireboxem oraz zmian polityk.
6. Segmentacja i zasada najmniejszych uprawnień dla dostępu administracyjnego do Fireboxów (tylko z jump hostów/VPN admin). (Dobre praktyki ogólne.)
7. Plan naprawy flotowej: o ile zarządzasz wieloma Fireboxami, priorytetyzuj hosty Internet-facing i te z historycznym IKEv2 dynamic peer; wykorzystaj automaty do upgrade’u. (Rekomendacja operacyjna.)

Różnice / porównania z innymi przypadkami

• W porównaniu z wieloma RCE w SSL-VPN u innych dostawców, CVE-2025-9242 uderza w IKEv2 (IPsec), co może omijać niektóre standardowe reguły WAF/IDS skupione na HTTP(S).
• Charakterystyczny jest aspekt „pamięci” konfiguracji (podatność może przetrwać usunięcie dynamicznego peera), co rzadziej występuje w innych błędach VPN.

Podsumowanie / najważniejsze wnioski

CVE-2025-9242 to krytyczna luka w WatchGuard Fireware OS umożliwiająca RCE bez uwierzytelniania przez IKEv2. Dziesiątki tysięcy urządzeń są przez cały czas nienaprawione i widoczne w Internecie, a producent sygnalizuje aktywny exploitation. Aktualizacja + rotacja sekretów + audyt konfiguracji IKEv2 to minimum, które należy wykonać natychmiast.

Źródła / bibliografia

1. SecurityWeek — Over 73,000 WatchGuard Firebox Devices Impacted by Recent Critical Flaw (21 paź 2025). (SecurityWeek)
2. WatchGuard PSIRT — WGSA-2025-00015 (CVE-2025-9242) — Advisory + IoA (akt. 21–22 paź 2025). (watchguard.com)
3. watchTowr labs — yIKEs: WatchGuard Fireware OS IKEv2 Out-of-Bounds Write (CVE-2025-9242) — analiza techniczna. (watchTowr Labs)
4. NVD — wpis CVE-2025-9242 (CVSS v4.0, zakres wersji). (NVD)
5. SC Media — Over 70K vulnerable WatchGuard Firebox instances exposed (19–20 paź 2025). (SC Media)