WatchGuard：注意已遭利用的 Fireware OS VPN 严重漏洞

WatchGuard 公司在本周四发布的一份安全公告中提到， “该漏洞同时影响配置了动态网关对等点的移动用户IKEv2 VPN和分支机构IKEv2 VPN。如果此前设备曾配置过移动用户IKEv2 VPN或指向动态网关对等点的分支机构IKEv2 VPN，即便这些配置后来已被删除，只要该设备仍存在指向静态网关对等点的分支机构VPN配置，就可能依然受影响。”

该漏洞影响以下Fireware OS版本：

• 2025.1版本：已在2025.1.4中修复

• 12.x版本：已在12.11.6中修复

• 12.5.x版本（T15和T35型号）：已在12.5.15中修复

• 12.3.1版本（FIPS认证版本）：已在12.3.1_Update4（B728352）中修复

• 11.x版本（11.10.2至11.12.4_Update1）：已终止支持

WatchGuard公司确认已观察到威胁攻击者正积极尝试在野利用此漏洞，攻击源来自以下IP地址：

• 45.95.19[.]50

• 51.15.17[.]89

• 172.93.107[.]67

• 199.247.7[.]82

值得注意的是，IP地址“199.247.7[.]82”本周早些时候也曾被 Arctic Wolf 标记为与Fortinet旗下FortiOS、FortiWeb、FortiProxy及FortiSwitchManager近期披露的两个安全漏洞（CVE-2025-59718与CVE-2025-59719，CVSS评分均为9.8）的利用活动相关。

WatchGuard公司还提供了多项入侵指标（IoC），供设备所有者检测自身实例是否已遭感染：

• 当Firebox接收到包含超过8个证书的IKEv2认证 payload 时，日志会出现提示“接收到的对等证书链长度超过8，已拒绝此证书链”。

• IKE_AUTH请求日志消息中出现异常庞大的CERT payload（超过2000字节）。

• 漏洞利用成功时，iked进程将挂起，导致VPN连接中断。

• 无论漏洞利用成功与否，IKED进程崩溃后都会在Firebox上生成故障报告。

此次披露距离美国网络安全和基础设施安全局（CISA）将另外一个WatchGuard Fireware OS高危漏洞（CVE-2025-9242，CVSS评分9.3）列入其已知被利用漏洞（KEV）目录仅一个多月，该漏洞此前已遭活跃利用。目前尚不清楚这两起攻击事件是否存在关联。建议用户立即安装更新以防范威胁。

针对存在易受攻击的分支机构VPN（BOVPN）配置的设备，WatchGuard 公司建议管理员采取临时缓解措施：禁用动态对等点BOVPN、创建包含远程BOVPN对等点静态IP地址的别名、新增允许该别名访问的防火墙策略，以及停用处理VPN流量的默认内置策略。