واچ‌گارد نقص روزصفر «بحرانی» که امکان تصاحب کامل فایروال را می‌داد برطرف کرد

واچ‌گارد یک وصلهٔ امنیتی فوری برای تجهیزات فایروال Firebox خود منتشر کرده است؛ پس از آنکه مشخص شد یک آسیب‌پذیری با درجهٔ بحرانی به‌صورت فعال توسط مهاجمان در حال سوءاستفاده است.

5 ماه قبل 4 دقیقه مطالعه ارسال دیدگاه

این نقص با شناسه CVE-2025-14733 و امتیاز CVSS برابر با 9.3 ردیابی می‌شود و از نوع Out-of-bounds Write است. آسیب‌پذیری یادشده فرایند iked را تحت تأثیر قرار می‌دهد؛ مؤلفه‌ای از سیستم‌عامل Fireware OS که مسئول تبادل کلید IKEv2 در VPNهای IPSec است.

طبق هشدار واچ‌گارد، این ضعف می‌تواند به یک مهاجم راه‌دور و بدون احراز هویت اجازه دهد «کد دلخواه اجرا کند» و از طریق اجرای کد از راه دور (RCE) کنترل کامل دستگاه را در اختیار بگیرد—آن هم بدون نیاز به ورود.

از آنجا که پیش از انتشار وصله در تاریخ ۱۸ دسامبر این نقص مورد حمله قرار گرفته، CVE-2025-14733 یک صفرروزهٔ واقعی محسوب می‌شود. بنابراین نخستین اقدام مدیران باید بررسی نشانه‌های نفوذ فعلی یا اخیر روی دستگاه‌های Firebox باشد.

واچ‌گارد در اطلاعیهٔ خود چهار آدرس IP مرتبط با سوءاستفاده را فهرست کرده است؛ ترافیک خروجی به این IPها «نشانگر قوی نفوذ» تلقی می‌شود و اتصالات ورودی از آن‌ها می‌تواند بیانگر شناسایی یا تلاش برای بهره‌برداری باشد. در صورت فعال بودن لاگ‌ها، نشانه‌های قوی دیگر شامل پیام لاگ IKE_AUTH با payload غیرعادی CERT بزرگ‌تر از ۲۰۰۰ بایت یا مشاهدهٔ هنگ‌کردن فرایند iked است.

نسخه‌های آسیب‌پذیر Fireware OS عبارت‌اند از:

  • 2025.1 تا 2025.1.3
  • 12.0 تا 12.11.5
  • نسخه‌های قدیمی 11.10.2 تا 11.12.4_Update1

نسخه‌های اصلاح‌شده شامل 2025.1.4، 12.11.6، 12.5.15 (برای مدل‌های T15 & T35) و 12.3.1_Update4 (B728352) برای انتشار دارای گواهی FIPS هستند. برای شاخهٔ 11.x—که پایان عمر اعلام شده—وصله‌ای ارائه نشده است.

نکتهٔ مهم اینکه واچ‌گارد هشدار می‌دهد صرفاً وصله‌کردن ممکن است کافی نباشد:
«اگر Firebox قبلاً با VPN کاربر سیار مبتنی بر IKEv2 یا VPN شعبه‌ای با همتای دروازهٔ پویا پیکربندی شده و سپس این تنظیمات حذف شده باشند، اما همچنان یک VPN شعبه‌ای با همتای دروازهٔ ثابت وجود داشته باشد، دستگاه ممکن است همچنان آسیب‌پذیر بماند.»

همچنین برای برخی مدیران، اقدامات پس از وصله ضروری است. واچ‌گارد تأکید می‌کند: «علاوه بر نصب آخرین نسخهٔ Fireware OS حاوی اصلاحیه، مدیرانی که فعالیت مهاجمان را روی Firebox تأیید کرده‌اند باید تمام اسرار محلی ذخیره‌شده روی دستگاه‌های آسیب‌پذیر را تعویض (Rotate) کنند.»

دژاوو

در ماه سپتامبر نیز واچ‌گارد نقص مشابهی با شناسه CVE-2025-9242—باز هم در پیکربندی VPN مبتنی بر iked و با امتیاز CVSS 9.3—را وصله کرده بود. آن زمان اعلام شد سوءاستفادهٔ فعالی گزارش نشده، اما در اکتبر با شناسایی تلاش‌های بهره‌برداری، این ارزیابی بازنگری شد.

این رخداد یادآور آن است که ارزیابی‌های اولیهٔ آسیب‌پذیری‌ها—به‌ویژه در زیرساخت‌های حیاتی—نباید خوش‌بینانه تفسیر شوند؛ زیرا اغلب سوءاستفاده‌ها پس از عمومی‌شدن نقص‌ها آشکار می‌شود. فایروال‌ها و VPNها اهداف اصلی مجرمان سایبری‌اند و هر نقص مهم در آن‌ها یک ریسک فوری امنیتی است.

متأسفانه شواهد نشان می‌دهد برخی مشتریان واچ‌گارد وصله‌ها را به‌موقع اعمال نمی‌کنند. در اکتبر، اسکن بنیاد Shadowserver نشان داد بیش از ۷۱ هزار دستگاه Firebox هنوز برای CVE-2025-9242 وصله نشده بودند—از جمله ۲۳ هزار دستگاه در آمریکا. با وجود صفرروزه‌بودن نقص جدید، احتمال می‌رود CVE-2025-14733 نیز سرنوشت مشابهی داشته باشد.

کندی یا تعلل در وصله‌کردن می‌تواند نشان دهد که چرا اخیراً هکرهای همسو با روسیه موسوم به Sandworm با سوءاستفاده از CVEهای چند ساله، تجهیزات WatchGuard Firebox و XTM را هدف گرفته‌اند.

برچسب:
منبع: CSO