Wprowadzenie do problemu / definicja luki
W urządzeniach WatchGuard Firebox (system Fireware OS) wykryto lukę CVE-2025-9242 o krytycznym poziomie ryzyka (CVSS 9.3), która umożliwia zdalne wykonanie kodu bez uwierzytelnienia poprzez błąd out-of-bounds write w procesie iked (obsługa IKEv2/IPsec dla Mobile User VPN i Branch Office VPN). CISA dodała już podatność do katalogu Known Exploited Vulnerabilities (KEV) na podstawie dowodów aktywnego wykorzystywania w atakach.
W skrócie
- Co: Out-of-bounds write w
iked(IKEv2), prowadzący do RCE bez uwierzytelniania. - Kogo dotyczy: Fireware OS 11.10.2–11.12.4_U1, 12.0–12.11.3, 2025.1 (różne modele Firebox). Naprawione w 2025.1.1, 12.11.4, 12.5.13 (T15/T35), 12.3.1_Update3 (B722811); gałąź 11.x – EoL.
- Wejście atakującego: Ruch IKEv2 z Internetu na UDP/500 i UDP/4500 (NAT-T).
- Status: Aktywnie wykorzystywana; CISA/KEV wymaga szybkiej aktualizacji.
- Ekspozycja: Shadowserver raportował >73k niezałatanych Fireboxów widocznych w Internecie w październiku.
Kontekst / historia / powiązania
WatchGuard opublikował poradnik PSIRT 17 września 2025 r., a 21 października 2025 r. zaktualizował go o wskaźniki ataku (IoA) i zalecenie rotacji lokalnie przechowywanych sekretów (np. hasła, pre-shared keys) „z ostrożności”, po sygnałach o realnych próbach eksploatacji. 13 listopada 2025 r. dołączenie do CISA KEV potwierdziło etap aktywnego nadużycia.
Równolegle watchTowr opublikował techniczną analizę i reprodukcję błędu, ułatwiającą zrozumienie prymitywu pamięci, który stoi za RCE.
Analiza techniczna / szczegóły luki
Wejście: komunikaty IKE_AUTH w trakcie zestawiania IKEv2. Błąd out-of-bounds write w implementacji iked można wywołać manipulując polami ładunku IDi (identyfikator inicjatora) – udokumentowanym wskaźnikiem podejścia jest nienaturalnie duży rozmiar IDi (>100 bajtów) w logach diagnostycznych. Udana eksploatacja może spowodować zawieszenie lub crash procesu iked, a w wektorze RCE – wykonanie kodu w kontekście urządzenia.
Warunek konfiguracji: Podatność dotyczy Mobile User VPN (IKEv2) i BOVPN (IKEv2) z dynamicznym peerem. Co istotne, nawet po usunięciu takich konfiguracji urządzenie może pozostać podatne, jeśli nadal istnieje BOVPN do statycznego peera.
Zakres wersji i poprawki: jw. (sekcja „W skrócie”). Gałąź 11.x jest EoL – brak poprawek producenta.
Dowody wykorzystania: wpis w CISA KEV oraz doniesienia branżowe; SecurityWeek wskazuje na decyzję CISA nakazującą pilną aktualizację w instytucjach federalnych (BOD 22-01).
Praktyczne konsekwencje / ryzyko
- Przejęcie perymetru: RCE na firewallu = pełna kontrola nad ruchem, podsłuch/mitm, pivot do sieci wewnętrznej.
- Wyłączenie VPN / zakłócenia: zawieszanie/crash
ikedprzerywa tunele BOVPN i dostęp zdalny. - Masowa skala ataku: dziesiątki tysięcy urządzeń w Internecie, atrakcyjny cel dla ransomware/APT (brak uwierzytelnienia, stałe UDP).
Rekomendacje operacyjne / co zrobić teraz
0) Priorytet i okno serwisowe
Traktuj jako P1. Zaplanuj szybkie prace: upgrade + rotacja sekretów.
1) Szybka inwentaryzacja i wykrywanie
- Zidentyfikuj wszystkie Fireboxy z interfejsem WAN mającym UDP/500 i UDP/4500 otwarte do Internetu.
- Sprawdź wersję Fireware OS i konfigurację VPN (czy używasz IKEv2 oraz dynamic peers).
- Przejrzyj logi
ikedpod kątem IoA od WatchGuard: „IKE_AUTH request … IDi(sz=…>100)”, zawieszenia lub crasheiked. (Włącz poziom Info dla diagnostykiiked, jeśli to konieczne).
Przykładowe zapytania (do szybkiego łapania IoA w SIEM):
- Syslog / Splunk
index=network_logs sourcetype=watchguard:iked "IKE_AUTH request" IDi(sz=* | rex "IDi\\(sz=(?<idi>\d+)\\)" | where tonumber(idi) > 100 - Elastic (KQL)
message : "*IKE_AUTH request*" and message : "*IDi(sz=*" - tcpdump – szybka inspekcja IKEv2 (porty i długości) Uwaga: rozmiary payloadów IKEv2 nie są „z pudełka” parsowane; użyj do triage’u i korelacji z logami.
tcpdump -ni any udp port 500 or udp port 4500
2) Aktualizacja (remediacja właściwa)
- Zaktualizuj do 2025.1.1 / 12.11.4 / 12.5.13 / 12.3.1_Update3 zgodnie z tabelą WatchGuard PSIRT. Dla 11.x – wymiana/upgrade platformy (EoL, brak łat). Po aktualizacji zrestartuj i zweryfikuj wersję.
3) Rotacja sekretów (po aktualizacji)
- WatchGuard zaleca rotację wszystkich lokalnie przechowywanych sekretów (hasła, PSK, klucze) „z ostrożności”. Zacznij od PSK dla BOVPN/MUVPN oraz haseł administratorów.
4) Dodatkowe twardnienie i ograniczenie powierzchni ataku
- Dostęp IKEv2 tylko z zaufanych adresów (listy peerów/ACL na brzegowym FW/WAF, o ile architektura pozwala).
- Rate-limit dla UDP/500, 4500 na zewnętrznych interfejsach (nftables/iptables) – utrudnia bruteforce i rozpoznanie:
# nftables – ratelimiting IKEv2 (przykład) nft add table inet edge nft add chain inet edge input { type filter hook input priority 0 \; } nft add rule inet edge input udp dport {500,4500} ct state new limit rate 20/second accept nft add rule inet edge input udp dport {500,4500} drop - Monitoring integralności i wysoki poziom logowania
ikedprzynajmniej tymczasowo.
5) Doraźne obejścia (gdy nie możesz od razu patchować)
- Jeśli używasz wyłącznie BOVPN do statycznych peerów, zastosuj wytyczne producenta dot. „Secure Access to BOVPN IKEv2” jako tymczasowe ograniczenie ryzyka. (Nie zastępuje aktualizacji!)
6) Wykrywanie w sieci (IDS/IPS) – przykładowa reguła Suricata
Heurystyka: nieproporcjonalnie duże IDi w IKE_AUTH. Reguła orientacyjna – wymaga testów i dostrojenia w danym środowisku.
alert udp any any -> $HOME_NET [500,4500] (
msg:"IKEv2 anomaly: oversized IDi in IKE_AUTH (WatchGuard CVE-2025-9242 heuristic)";
flow:to_server;
dsize:>600; # heurystyczny próg długości pakietu
content:"|2f|"; offset:0; depth:1; # IKEv2 major/minor wersja w pierwszym bajcie: 0x2F (IKE_SA?); DEMO
classtype:attempted-admin; sid:25259242; rev:1;
)(IKEv2 nie ma banalnego „sygnaturowego” pola dla IDi bez pełnego parsowania – potraktuj to jako punkt startowy do własnej inspekcji).
7) Skany zewnętrzne / wykrywacze
- Zespół watchTowr udostępnił skrypt pomocniczy do weryfikacji podatności (detekcja warunku wersji/konfiguracji) – używaj wyłącznie we własnej infrastrukturze.
Różnice / porównania z innymi przypadkami (jeśli dotyczy)
- Charakter wektora: podobnie jak dawne łańcuchy RCE w Fortinet/Citrix, tutaj także mamy unauthenticated edge RCE na urządzeniu brzegowym. Różnica: specyfika IKEv2 i prymityw pamięci w
iked. - Stan publicznych PoC: w chwili pisania brak szeroko dostępnego, w pełni działającego PoC RCE; istnieją analizy i reprodukcje badaczy (watchTowr), a CISA raportuje realne wykorzystanie. To klasyczny etap „patch now, ask later”.
Podsumowanie / kluczowe wnioski
- CVE-2025-9242 to krytyczna luka RCE w WatchGuard Firebox/Fireware OS w komponencie IKEv2 (
iked). - Jest aktywnie wykorzystywana; CISA wpisała ją do KEV – traktuj jako incydent prewencyjny o najwyższym priorytecie.
- Aktualizuj do wersji naprawionych i rotuj sekrety; dla EoL 11.x – zaplanuj wymianę.
- Zastosuj dodatkowe kontrole (ACL/ratelimity/monitoring IoA) do czasu pełnego wdrożenia poprawek.
- Weryfikuj logi
ikedpod kątem anomalii (duży IDi) oraz stabilność procesu – to praktyczne IoA od producenta.
Źródła / bibliografia
- WatchGuard PSIRT – „WatchGuard Firebox iked Out of Bounds Write Vulnerability (WGSA-2025-00015)” – zakres wersji, IoA, zalecenia (akt. 7 XI i 21 X 2025). (watchguard.com)
- CISA – Alert/KEV: dodanie CVE-2025-9242 jako aktywnie wykorzystywanej (13 XI 2025). (CISA)
- SecurityWeek – „Critical WatchGuard Firebox Vulnerability Exploited in Attacks” (13 XI 2025). (SecurityWeek)
- Shadowserver – obserwacje skali ekspozycji (73k+ niezałatanych Fireboxów). (SecurityWeek)
- watchTowr labs – analiza techniczna i reprodukcja błędu IKEv2/
iked. (watchTowr Labs)
