WatchGuard 警告关键 Fireware OS VPN 漏洞正被主动利用

WatchGuard 已发布修补程序，以解决其在真实世界攻击中已被利用的 Fireware OS 严重安全缺陷。

该漏洞的跟踪编号为 CVE-2025-14733（CVSS 分值：9.3），被描述为影响 iked 进程的越界写入，可能允许远程未认证攻击者执行任意代码。

“此漏洞影响使用 IKEv2 的移动用户 VPN 以及在配置为动态网关对等方时的分支办公室 VPN，”公司在周四的通告中表示。

“如果防火墙之前已配置使用 IKEv2 的移动用户 VPN 或使用 IKEv2 的分支办公室 VPN 对接动态网关对等方，并且这些配置随后已被删除，则即使仍保留对静态网关对等方的分支办公室 VPN 配置，防火墙仍可能存在漏洞。”

该漏洞影响以下 Fireware OS 版本：

• 2025.1 - 已在 2025.1.4 中修复
• 12.x - 已在 12.11.6 中修复
• 12.5.x (T15 与 T35 型号) - 已在 12.5.15 中修复
• 12.3.1 (FIPS 认证版) - 已在 12.3.1_Update4 (B728352) 中修复
• 11.x (11.10.2 至 11.12.4_Update1) - 已停产 (End-of-Life)

WatchGuard 确认已观察到威胁行为者在野外主动尝试利用此漏洞，攻击来源于以下 IP 地址：

• 45.95.19[.]50
• 51.15.17[.]89
• 172.93.107[.]67
• 199.247.7[.]82

有趣的是，IP 地址 199.247.7[.]82 也在本周早些时候被 Arctic Wolf 标记为与利用最近披露的两项 Fortinet FortiOS、FortiWeb、FortiProxy 与 FortiSwitchManager 安全漏洞（CVE-2025-59718 与 CVE-2025-59719，CVSS 分值：9.8）有关联。

这家位于西雅图的公司还共享了多项妥协指示器 (IoC)，设备所有者可据此判断其实例是否已被感染：

• 当 Firebox 接收到包含超过 8 份证书的 IKE2 Auth 负载时，日志会记录 “Received peer certificate chain is longer than 8. Reject this certificate chain” 的信息
• IKE_AUTH 请求日志中出现异常大的 CERT 负载（大于 2000 字节）
• 在成功利用期间，iked 进程会挂起，导致 VPN 连接中断
• 利用成功或失败后，IKED 进程会崩溃，并在 Firebox 上生成故障报告

此披露距美国网络安全与基础设施安全局（CISA）在报告活跃利用后，将另一项关键的 WatchGuard Fireware OS 漏洞（CVE-2025-9242，CVSS 分值：9.3）添加至已知被利用漏洞（KEV）目录已有一个多月时间。

目前尚不清楚这两批攻击是否相关。建议用户尽快应用更新以防御此威胁。

作为对配置了易受影响的分支办公室 VPN（BOVPN）设备的临时缓解措施，公司已敦促管理员禁用动态对等 BOVPN，创建包含远程 BOVPN 对等方静态 IP 地址的别名，新增允许该别名访问的防火墙策略，并禁用处理 VPN 流量的默认内建策略。

更新

CISA 于 2025 年 12 月 19 日将 CVE-2025-14733 添加至其 KEV 目录，要求联邦民用行政部门（FCEB）机构在 2025 年 12 月 26 日之前部署修补程序。

Shadowserver 基金会的数据表明，有 117,490 台面向互联网的 WatchGuard 实例受到该缺陷影响。其中超过 35,600 台位于美国，随后是德国 13,000 台、意大利 11,300 台、英国 9,000 台以及加拿大 5,800 台。

WatchGuard 表示：“威胁行为者正将利用此漏洞作为针对多厂商边缘网络设备和暴露基础设施的更广泛攻击活动的一部分”。