WatchGuard находится в режиме экстренного исправления после подтверждения того, что критическая уязвимость удаленного выполнения кода в межсетевых экранах Firebox подвергается активной атаке.
В официальном уведомлении, опубликованном на этой неделе, поставщик сетевой безопасности предупредил клиентов о том, что злоумышленники используют CVE-2025-32978 — уязвимость с рейтингом 9.3, затрагивающую межсетевые экраны Firebox. Эта ошибка позволяет атакующим, не прошедшим аутентификацию, удаленно выполнять произвольные команды, фактически передавая контроль над межсетевым экраном, если устройство доступно через Интернет.
WatchGuard сообщил, что ошибка находится в службе Internet Key Exchange (IKE) операционной системы Fireware и может быть использована удаленно, без аутентификации, для выполнения произвольного кода на уязвимых устройствах Firebox. Компания подтвердила, что стала свидетелем активной эксплуатации уязвимости в реальных условиях и опубликовала индикаторы компрометации, чтобы помочь клиентам оценить, не стали ли они жертвами.
“Эта уязвимость затрагивает как мобильный VPN для пользователей с IKEv2, так и VPN для филиалов с использованием IKEv2 при настройке с динамическим одноранговым узлом шлюза”, — говорится в уведомлении WatchGuard от четверга. “Если ранее на Firebox была настроена мобильная VPN для пользователей с IKEv2 или VPN для филиалов с использованием IKEv2 к динамическому одноранговому узлу шлюза, и обе эти конфигурации с тех пор были удалены, этот Firebox все еще может быть уязвим, если VPN для филиалов к статическому одноранговому узлу шлюза все еще настроена”.
Немедленным решением является установка последних обновлений прошивки, которые, по словам WatchGuard, полностью устраняют уязвимость. Для организаций, которые не могут немедленно установить исправление, поставщик предоставил временное обходное решение.
Межсетевые экраны и граничные устройства стали излюбленной мишенью для злоумышленников именно потому, что они находятся на границе корпоративных сетей и часто работают с высокими привилегиями. Успешная эксплуатация не просто компрометирует один сервер; она может обеспечить видимость трафика, учетных данных, VPN-соединений и нижестоящих систем, скрываясь при этом внутри устройства, которому многие защитники по умолчанию доверяют.
Всего несколько дней назад Amazon раскрыла долгосрочную кампанию шпионажа, отслеженную до 2021 года, в ходе которой злоумышленники, связанные с российским ГРУ, использовали CVE-2022-26318 — ранее критическую уязвимость удаленного выполнения кода без аутентификации в устройствах WatchGuard Firebox и XTM — для выполнения произвольного кода через открытый доступ к управлению.
Это раскрытие произошло всего через несколько недель после того, как CISA добавила еще одну критическую уязвимость операционной системы WatchGuard Fireware, отслеживаемую как CVE-2025-9242, в свой каталог известных уязвимых уязвимостей (KEV) после сообщений об активной эксплуатации.
Хотя WatchGuard не связывает текущую эксплуатацию с каким-либо конкретным актером угроз, модель уже хорошо установлена. Уязвимости межсетевых экранов быстро превращаются в оружие, сканируются в больших масштабах и объединяются со слабыми конфигурациями для компрометации сетей до того, как у многих организаций появится время на реакцию. ®
Автор – Carly Page
