WatchGuard VPN 漏洞可导致远程攻击者执行任意代码
WatchGuard 披露了其 Fireware OS 中一个严重的越界写入漏洞,该漏洞使远程未经身份验证的攻击者能够通过 IKEv2 VPN 连接执行任意代码。 该漏洞在公告编号 WGSA-2025-00015 中被指定为 CVE-2025-9242,CVSS 4.0 评分为 9.3,凸显了其对 Firebox 设备造成严重影响的利用潜力。 该问题于 2025 年 9 月 17 日发布,并在两天后更新,影响从 11.10.2 到 11.12.4_Update1、12.0 到 12.11.3 和 2025.1 的版本,使数千家中小型企业面临整个系统被入侵等风险。
WatchGuard 披露了其 Fireware OS 中一个严重的越界写入漏洞,该漏洞使远程未经身份验证的攻击者能够通过 IKEv2 VPN 连接执行任意代码。
该漏洞在公告编号 WGSA-2025-00015 中被指定为 CVE-2025-9242,CVSS 4.0 评分为 9.3,凸显了其对 Firebox 设备造成严重影响的利用潜力。
该问题于 2025 年 9 月 17 日发布,并在两天后更新,影响从 11.10.2 到 11.12.4_Update1、12.0 到 12.11.3 和 2025.1 的版本,使数千家中小型企业面临整个系统被入侵等风险。
WatchGuard 为超过 250,000 个组织和 1000 万个端点提供安全保护,它敦促立即修补以减轻勒索软件或其他针对外围防御的恶意行为者的威胁。
该漏洞存在于 Fireware OS 的 IKE 进程中,该进程负责处理移动用户和配置了动态网关对等体的分支机构 VPN 的 IKEv2 协商。
WatchGuard VPN漏洞
攻击者可以发送精心设计的 IKE_SA_INIT 和 IKE_SA_AUTH 数据包来触发 ike2_ProcessPayload_CERT 函数中的越界写入,其中攻击者控制的识别数据会在没有足够边界检查的情况下溢出 520 字节的堆栈缓冲区。
如果静态对等体仍然处于活动状态,即使已删除的 VPN 配置也可能留下残留漏洞,从而允许通过 UDP 端口 500 进行预身份验证访问。
WatchTowr Labs 的安全研究人员将这一发现归功于 btaol,他们通过对易受攻击的 12.11.3 版本和修补后的 12.11.4 版本进行补丁差异分析,对代码进行了逆向工程,发现只需添加一个简单的长度检查即可修复该漏洞。
这种基于堆栈的缓冲区溢出漏洞可以追溯到 1996 年,尽管启用了 NX,但它仍然存在于缺乏 PIE 或堆栈金丝雀等现代缓解措施的 2025 年企业设备中。
利用 CVE-2025-9242 需要通过 IKE_SA_INIT 响应中的自定义供应商 ID 有效负载对固件版本进行指纹识别,该响应嵌入 base64 编码的详细信息,例如“VN=12.11.3 BN=719894”,以便于识别。
然后,攻击者会协商 AES-256 和 Diffie-Hellman Group 14 等转换,然后在 IKE_SA_AUTH 中发送超大的识别有效载荷来破坏寄存器并劫持控制流,从而导致分段错误或 ROP 链。
WatchTowr通过链接小工具来调用 mprotect 进行堆栈执行,从而演示了远程代码执行,部署了生成根 Python 解释器的反向 TCP shellcode,可能启用文件系统重新挂载或 BusyBox 下载以实现完全 shell 访问。
Firebox 设备通常是面向互联网的边界,会放大风险;在没有强大隔离的环境中,漏洞可能会转向内部网络、数据泄露或持久后门。
缓解措施
WatchGuard 已在更新版本中解决了该问题:2025 分支的更新版本为 2025.1.1,12.x 的更新版本为 12.11.4,T15/T35 型号的更新版本为 12.5.13,FIPS 认证的 12.3.1 的更新版本为 12.3.1_Update3,其中 11.x 版本现已终止服务。
受影响的产品涵盖 Firebox 系列,包括 T20 至 M690 系列、Cloud 和 NV5/V 型号。
作为临时解决方法,组织应根据 WatchGuard 关于访问控制的 KB 文章保护 IPSec/IKEv2 分支机构 VPN,并尽可能禁用不必要的 IKEv2。
目前尚未确认存在野外攻击,但未经身份验证的性质和详细的公开分析提高了紧迫性;用户必须监控日志中异常的 IKE 流量并及时应用补丁,以保护作为关键网关的 VPN 集中器。
该漏洞在公告编号 WGSA-2025-00015 中被指定为 CVE-2025-9242,CVSS 4.0 评分为 9.3,凸显了其对 Firebox 设备造成严重影响的利用潜力。
该问题于 2025 年 9 月 17 日发布,并在两天后更新,影响从 11.10.2 到 11.12.4_Update1、12.0 到 12.11.3 和 2025.1 的版本,使数千家中小型企业面临整个系统被入侵等风险。
WatchGuard 为超过 250,000 个组织和 1000 万个端点提供安全保护,它敦促立即修补以减轻勒索软件或其他针对外围防御的恶意行为者的威胁。
该漏洞存在于 Fireware OS 的 IKE 进程中,该进程负责处理移动用户和配置了动态网关对等体的分支机构 VPN 的 IKEv2 协商。
WatchGuard VPN漏洞
攻击者可以发送精心设计的 IKE_SA_INIT 和 IKE_SA_AUTH 数据包来触发 ike2_ProcessPayload_CERT 函数中的越界写入,其中攻击者控制的识别数据会在没有足够边界检查的情况下溢出 520 字节的堆栈缓冲区。
如果静态对等体仍然处于活动状态,即使已删除的 VPN 配置也可能留下残留漏洞,从而允许通过 UDP 端口 500 进行预身份验证访问。
WatchTowr Labs 的安全研究人员将这一发现归功于 btaol,他们通过对易受攻击的 12.11.3 版本和修补后的 12.11.4 版本进行补丁差异分析,对代码进行了逆向工程,发现只需添加一个简单的长度检查即可修复该漏洞。
这种基于堆栈的缓冲区溢出漏洞可以追溯到 1996 年,尽管启用了 NX,但它仍然存在于缺乏 PIE 或堆栈金丝雀等现代缓解措施的 2025 年企业设备中。
利用 CVE-2025-9242 需要通过 IKE_SA_INIT 响应中的自定义供应商 ID 有效负载对固件版本进行指纹识别,该响应嵌入 base64 编码的详细信息,例如“VN=12.11.3 BN=719894”,以便于识别。
然后,攻击者会协商 AES-256 和 Diffie-Hellman Group 14 等转换,然后在 IKE_SA_AUTH 中发送超大的识别有效载荷来破坏寄存器并劫持控制流,从而导致分段错误或 ROP 链。
WatchTowr通过链接小工具来调用 mprotect 进行堆栈执行,从而演示了远程代码执行,部署了生成根 Python 解释器的反向 TCP shellcode,可能启用文件系统重新挂载或 BusyBox 下载以实现完全 shell 访问。
Firebox 设备通常是面向互联网的边界,会放大风险;在没有强大隔离的环境中,漏洞可能会转向内部网络、数据泄露或持久后门。
缓解措施
WatchGuard 已在更新版本中解决了该问题:2025 分支的更新版本为 2025.1.1,12.x 的更新版本为 12.11.4,T15/T35 型号的更新版本为 12.5.13,FIPS 认证的 12.3.1 的更新版本为 12.3.1_Update3,其中 11.x 版本现已终止服务。
受影响的产品涵盖 Firebox 系列,包括 T20 至 M690 系列、Cloud 和 NV5/V 型号。
作为临时解决方法,组织应根据 WatchGuard 关于访问控制的 KB 文章保护 IPSec/IKEv2 分支机构 VPN,并尽可能禁用不必要的 IKEv2。
目前尚未确认存在野外攻击,但未经身份验证的性质和详细的公开分析提高了紧迫性;用户必须监控日志中异常的 IKE 流量并及时应用补丁,以保护作为关键网关的 VPN 集中器。
关于作者
评论0次