17.10.2025
1 хв
548
Дослідники кібербезпеки повідомили про серйозну вразливість у системі WatchGuard Fireware OS, яка дозволяла атакуючим без автентифікації виконувати довільний код і захоплювати пристрої. Уразливість CVE-2025-9242, що має CVSS-рейтинг 9.3, уже виправлена, однак експерти називають її «ідеальною знахідкою для угруповань з програмами-вимагачами». Проблема зачіпала кілька версій WatchGuard Fireware OS — від 11.10.2 до 11.12.4_Update1, а також гілки 12.0–12.11.3 і 2025.1. Помилка виникала в процесі iked, що відповідає за встановлення VPN-з’єднань за протоколом IKEv2.
Уразливість походить із функції ike2_ProcessPayload_CERT у файлі *ike2_payload_cert.c*. Саме там дані клієнтської ідентифікації копіювалися у внутрішній буфер без перевірки довжини. Це давало змогу зловмиснику надіслати спеціально сформований запит і викликати переповнення буфера, відкриваючи шлях до виконання довільного коду ще до перевірки сертифіката.
Хоча Fireware не має інтерактивного shell, дослідники з watchTowr Labs продемонстрували, що зловмисник може захопити інструкційний покажчик (RIP), обійти NX-захист через виклик mprotect(), і створити Python-оболонку через TCP. Звідти вже можливо:
виконати execve у Python, щоб перемонтувати файлову систему в режимі запису;
завантажити BusyBox на пристрій;
створити символічне посилання /bin/sh, забезпечивши повноцінний доступ до Linux-середовища.
Компанія WatchGuard виправила помилку у таких версіях:
2025.1.1
12.11.4
12.3.1_Update3 (FIPS)
12.5.13 (T15/T35)
Версія 11.x оголошена такою, що досягла кінця життєвого циклу (EOL).
На думку експертів, ця вразливість — яскравий приклад типового ризику для корпоративних VPN-систем. Її характерні риси — дистанційна експлуатація без авторизації, наявність прямого доступу з інтернету і високий потенціал для повного захоплення пристрою — роблять її привабливою для груп, що розповсюджують програми-вимагачі.
WatchGuard Fireware OS використовується тисячами організацій по всьому світу, зокрема у фінансових установах, держструктурах і великих компаніях. Тому навіть коротка затримка з оновленням могла б призвести до масових інфікувань.
Крім цього, watchTowr Labs повідомила про інші виправлені проблеми:
CVE-2025-3600 у Progress Telerik UI for AJAX, що за певних умов могла призвести до віддаленого виконання коду;
CVE-2025-36604 у Dell UnityVSA — командна ін’єкція з рейтингом 9.8, виправлена в липні 2025 року.
Разом ці знахідки підкреслюють масштаб проблеми — навіть провідні постачальники корпоративного ПЗ залишаються вразливими через дрібні помилки перевірки довжини буфера чи некоректну обробку даних клієнта.
Випадок із WatchGuard Fireware — ще одне нагадування, що своєчасне оновлення VPN-пристроїв і брандмауерів є критично важливим для будь-якої організації. Експерти радять перевірити версії Fireware OS, встановити останні оновлення та обмежити публічний доступ до сервісів IKEv2. Кожна подібна уразливість на периметрі мережі може стати входом для масштабної кібератаки. І навіть одна пропущена латка може перетворитися на тижні простоїв і втрат даних.
