Агентство CISA додало до каталогу відомих експлуатованих уразливостей (KEV) критичний баг у WatchGuard Fireware (CVE-2025-9242, CVSS 9.3), який дозволяє зловмисникам виконувати довільний код на Firebox без автентифікації. Понад 54 300 пристроїв у світі досі вразливі, попри наявність патчів.
13 листопада 2025 року Агентство з кібербезпеки та безпеки інфраструктури США (CISA) внесло до KEV-каталогу уразливість CVE-2025-9242 в операційній системі WatchGuard Fireware. Проблема стосується версій Fireware OS 11.10.2–11.12.4_Update1, 12.0–12.11.3 та 2025.1 і класифікується як out-of-bounds write в процесі iked. Це означає, що віддалений неавтентифікований атакувальник може виконати довільний код на пристрої, фактично захопивши над ним контроль.
За даними Shadowserver Foundation, станом на 12 листопада 2025 року в інтернеті доступно понад 54 300 вразливих Firebox, хоча ще 19 жовтня їх було близько 75 955. Найбільше таких пристроїв у США (приблизно 18 500), далі йдуть Італія (5 400), Велика Британія (4 000), Німеччина (3 600) та Канада (3 000). Федеральним американським цивільним відомствам (FCEB) наказано встановити оновлення WatchGuard не пізніше 3 грудня 2025 року.
Уразливість CVE–2025–9242 була детально описана дослідниками watchTowr Labs ще минулого місяця. Вони з’ясували, що помилка полягає у відсутності коректної перевірки довжини буфера ідентифікації під час IKE-handshake. Сервер хоч і виконує перевірку сертифіката, але робить це вже після проходження вразливого коду. Тож шкідливий трафік може досягти проблемної гілки логіки ще до етапу автентифікації, що відкриває шлях для атак без входу в систему (pre–auth).
На цьому тлі CISA також додала до KEV ще дві уразливості: CVE-2025-62215 (CVSS 7.0) в ядрі Windows та CVE-2025-12480 (CVSS 9.1) в продукті Gladinet Triofox, що пов’язана з некоректним контролем доступу. За даними команди Google Mandiant Threat Defense, CVE-2025-12480 вже активно експлуатується групою UNC6485. Це підкреслює ширший тренд: атакуючі дедалі швидше переходять до експлуатації свіжовиявлених помилок у периферійних та хмарних рішеннях.
CVE-2025-9242 у WatchGuard Fireware — це критична уразливість, яка робить тисячі Firebox по всьому світу легкими мішенями для атак без автентифікації. Попри зменшення кількості вразливих пристроїв, масштаб проблеми залишається значним. Організаціям, що використовують Firebox, слід невідкладно встановити офіційні патчі, обмежити доступ до панелі керування з інтернету та посилити моніторинг VPN і IKE-трафіку. Зволікання з оновленнями значно підвищує ризик компрометації мережі, особливо з огляду на те, що CISA вже зафіксувала активну експлуатацію уразливості.
