Kritická zraniteľnosť v operačnom systéme firewallov WatchGuard Firebox

Spoločnosť WatchGuard vydala bezpečnostné aktualizácie svojich firewallov Firebox, ktoré opravujú kritickú zraniteľnosť operačného systému Fireware OS. CVE-2025-9242 by vzdialený neautentifikovaný útočník mohol zneužiť na vzdialené vykonanie kódu.

Zraniteľné systémy:

• Fireware OS 2025.1 vo verziách starších ako 2025.1.1
• Fireware OS 12.x vo verziách starších ako 12.11.4
• Fireware OS 12.5.x (modely T15 a T35) vo verziách starších ako 12.5.13
• Fireware OS 12.3.1 (release s FIPS certifikáciou) vo verziách bez 12.3.1_Update3 (B722811)
• Fireware OS 11.x vo všetkých verziách (jedná sa o produkty s ukončenou podporou)

Opis zraniteľnosti:

CVE-2025-9242 (CVSSv4 skóre 9,3)

Kritická zraniteľnosť spočíva v možnosti zápisu do pamäte mimo povolených hodnôt a vzdialený neautentifikovaný útočník by ju mohol zneužiť na vzdialené vykonanie kódu. Zraniteľnosť je možné zneužiť na VPN pre mobilných používateľov s IKEv2 a BOVPN (Branch Office VPN) s IKEv2 nakonfigurovanom s dynamickou bránou. Ak bol firewall nakonfigurovaný jedným z týchto dvoch spôsobov a tieto konfigurácie boli zmazané, zariadenie môže byť podľa výrobcu stále zraniteľné, pokiaľ má nakonfigurovanú BOVPN so statickou bránou.

Možné škody:

• Vzdialené vykonanie kódu
• Získanie úplnej kontroly nad systémom

Odporúčania:

Administrátorom odporúčame vykonať bezodkladnú aktualizáciu aspoň na verzie 12.3.1_Update3 (B722811), 12.5.13, 12.11.4, alebo 2025.1.1. V prípade Fireware OS 11.x je potrebné vykonať migráciu na produkty s platnou podporou. Výrobca odporúča vykonať aj hardening BOVPN využívajúcich IpSec a IKEv2. Kompletný návod môžete nájsť online.

Zdroje:

• https://www.watchguard.com/wgrd-psirt/advisory/wgsa-2025-00015
• https://www.bleepingcomputer.com/news/security/watchguard-warns-of-critical-vulnerability-in-firebox-firewalls/