WatchGuard выпустил исправление для уязвимости брандмауэра Firebox с рейтингом 9.3

Компания WatchGuard выпустила обновления безопасности, устраняющие высокорискованную уязвимость в своих брандмауэрах Firebox. Эта проблема, CVE-2025-9242 , может позволить удалённому злоумышленнику получить контроль над устройством. Компания настоятельно рекомендует всем пользователям немедленно обновить свои системы, чтобы избежать потенциальных атак.

Эта уязвимость известна как « запись за пределами допустимого диапазона ». Представьте себе память компьютера как ряд ячеек. Запись за пределами допустимого диапазона происходит, когда программа пытается поместить данные в ячейку, для которой она не предназначена, что может привести к сбою в работе системы.

В случае с Firebox это может позволить хакеру запустить собственный вредоносный код на брандмауэре без необходимости быть аутентифицированным пользователем. Этот тип уязвимости очень серьёзный, поскольку брандмауэры предназначены для защиты сетей от внешних угроз. Именно поэтому проблеме присвоен высокий уровень риска — 9,3 из 10.

Проблема затрагивает широкий спектр устройств. Эта уязвимость затрагивает Fireware OS версий 11.10.2 и до 11.12.4_Update1 включительно, 12.0 и до 12.11.3 включительно, а также 2025.1. Хотя уязвимость присутствует только в том случае, если пользователь ранее настроил определённый тип VPN (виртуальную частную сеть) под названием IKEv2, WatchGuard отмечает, что даже после удаления этих настроек устройство всё ещё может быть подвержено риску.

Как заявила компания WatchGuard в своем бюллетене , «Уязвимость записи за пределами допустимого диапазона в процессе WatchGuard Fireware OS iked может позволить удаленному неаутентифицированному злоумышленнику выполнить произвольный код».

К затронутым продуктам относятся модели Firebox T15 и T35, работающие под управлением Fireware OS 12.5.x, а также многочисленные другие модели серий T, M и Firebox Cloud, работающие под управлением Fireware OS 12.x и 2025.1.x.

Хотя пока не известно ни об одной атаке с использованием этой уязвимости, риск реален. Злоумышленники часто выбирают в качестве своей цели межсетевые экраны, поскольку они являются ключевой точкой входа в сеть.

WatchGuard уже выпустил исправления этой проблемы в нескольких обновлениях программного обеспечения, включая версии 12.3.1_Update3, 12.5.13, 12.11.4 и 2025.1.1. Если у вас WatchGuard Firebox, вам следует немедленно проверить версию программного обеспечения устройства и установить последнее обновление. Пользователям, которые не могут обновиться немедленно, WatchGuard рекомендует временное решение, ограничив трафик, проходящий через VPN.

Компания выразила признательность исследователю под ником «btaol» за обнаружение и сообщение об этой проблеме.

Несколько экспертов по кибербезопасности высказались о серьезности проблемы и поделились своими мыслями с Hackread.com.

Дэвид Маталон , генеральный директор Venn, назвал этот недостаток «напоминанием о том, насколько организации доверяют защите периметра». Он добавил, что многоуровневый подход «критически важен для ограничения радиуса поражения, когда неизбежно возникают уязвимости».

Майюреш Дани , менеджер по исследованиям безопасности в подразделении исследований угроз Qualys, подчеркнул сохраняющуюся уязвимость, отметив, что «даже если уязвимые конфигурации VPN были удалены, системы остаются под угрозой».

Он также отметил, что, согласно отчетам об угрозах, многие эксплуатируемые уязвимости в 2025 году затронули «продукты периферийной безопасности и шлюзы», поскольку они предоставляют злоумышленникам простой способ проникновения в организацию.

Фрэнки Склафани , директор по обеспечению кибербезопасности компании Deepwatch, охарактеризовал оценку CVSS 9,3 как «киберэквивалент пожарной тревоги пятого уровня». Он подчеркнул, что для злоумышленника «взлом брандмауэра — это окончательная тактическая победа», поскольку это открывает идеальную точку входа в сеть.