CVE-2025-9242

چکیده

یک آسیب‌پذیری بحرانی از نوع نوشتن خارج از محدوده (Out-of-Bounds Write) در فرآیند iked سیستم‌عامل Fireware OS شرکت WatchGuard شناسایی شده است. این ضعف امنیتی به مهاجم از راه دور و بدون نیاز به احراز هویت اجازه می‌دهد کد دلخواه خود را روی دستگاه اجرا کند. این آسیب‌پذیری هر دو سرویس شبکه خصوصی مجازی کاربر موبایل مبتنی بر IKEv2 (Mobile User VPN with IKEv2) و شبکه خصوصی مجازی شعبه (Branch Office VPN) را تحت تاثیر قرار می دهد، به‌ویژه زمانی که Gateway Peer مربوطه به‌صورت پویا (Dynamic Gateway Peer) پیکربندی شده باشد.

توضیحات

آسیب‌پذیری CVE-2025-9242 یک ضعف امنیتی بحرانی از نوع نوشتن خارج از محدوده (Out‑of‑Bounds Write) مطابق با CWE‑787 است که در فرآیند iked سیستم‌عامل Fireware OS شرکت WatchGuard شناسایی شده است. Fireware OS سیستم‌عامل دستگاه‌های امنیتی Firebox است؛ بنابراین هرگونه ضعف در سرویس‌های سیستمی مستقیماً بر امنیت خود دستگاه Firebox اثر می‌گذارد.

فرآیند iked نیز مسئول مدیریت و پردازش مذاکرات IKEv2 (Internet Key Exchange v2) است؛ پروتکلی که در VPN برای تبادل کلیدهای رمزنگاری، مذاکره پارامترهای امنیتی و برقراری تونل‌های امن استفاده می‌شود. این ضعف به مهاجم اجازه می‌دهد تنها با دسترسی شبکه‌ای و بدون نیاز به احراز هویت یا تعامل کاربر، از طریق ارسال پیام‌های IKEv2، داده مخرب تزریق کرده و کد دلخواه را روی دستگاه Firebox اجرا کند.

این آسیب‌پذیری زمانی فعال می‌شود که دستگاه Firebox پیش‌تر با Mobile User VPN با IKEv2 یا Branch Office VPN با IKEv2 و Dynamic Gateway Peer پیکربندی شده باشد. نکته مهم این است که حتی اگر این تونل‌های IKEv2 پویا بعدها حذف شوند، اما همچنان یک تونل Branch Office VPN با Gateway ایستا وجود داشته باشد، دستگاه می‌تواند همچنان آسیب‌پذیر بماند. این موضوع مطابق با هشدار رسمی WatchGuard است و یکی از دلایل پیچیدگی تشخیص این ضعف محسوب می‌شود.

بهره‌برداری موفق از این آسیب پذیری می‌تواند منجر به کنترل کامل دستگاه Firebox شود. بنابراین، مهاجم قادر به خواندن و نوشتن فایل‌های حساس روی سیستم، اجرای دستورات سیستمی (Shell Execution) مانند استقرار بدافزار، استخراج داده یا ایجاد بکدور، تغییر یا تخریب تنظیمات امنیتی و قطع یا اختلال در مذاکرات VPN، شامل اختلال در ساخت یا بازسازی تونل‌ها خواهد بود. این پیامدها باعث نقض شدید محرمانگی، یکپارچگی و در دسترس‌پذیری می‌شوند.

فرآیند بهره‌برداری نیز به‌سادگی قابل خودکارسازی است و با ارسال دنباله‌ای از پیام‌های IKEv2 شامل یک SA Init و سپس پیام IKE_AUTH با پیلود مخرب یا پیلودهای غیرعادی، فرآیند iked وارد وضعیت نوشتن خارج از محدوده شده و مهاجم می‌تواند باعث کرش، هَنگ یا اجرای کد در آن شود. کد اثبات مفهومی (PoC) منتشرشده توسط watchTowr نشان می‌دهد چگونه می‌توان نسخه Fireware را از طریق پاسخ SA Init تشخیص داد و در مرحله بعد، پیلود را ارسال کرد و منجر به اجرای Shell یا کرش فرآیند iked شد.

طبق اعلام رسمی WatchGuard و گزارش CISA، بهره‌برداری فعال (Active Exploitation) از این آسیب‌پذیری در محیط واقعی مشاهده شده و به همین دلیل در فهرست KEV نیز ثبت شده است.

این ضعف تنها زمانی قابل سوءاستفاده است که پورت‌های IKEv2 (UDP 500 و 4500) در معرض اینترنت باشند و دستگاه حاوی پیکربندی‌های مرتبط با IKEv2 باشد. شرکت WatchGuard این ضعف را با انتشارنسخه‌های امن 2025.1.1، 12.11.4، 12.5.13 و_Update3 12.3.1 به طور کامل پچ کرده است.

CVSS

لیست محصولات آسیب پذیر

لیست محصولات بروز شده

استفاده محصول در ایران

در این جدول، تعداد صفحات ایندکس‌شده در گوگل با دامنه .ir که Fireware OS و WatchGuard را ذکر کرده اند، ثبت شده است. این داده صرفاً برای برآورد تقریبی حضور محصولات در وب ایران استفاده شده و نمایانگر میزان نصب دقیق و استفاده واقعی نیست.

نتیجه گیری

این آسیب‌پذیری با شدت بحرانی در سیستم‌عامل Fireware OS شرکت WatchGuard، از طریق نوشتن خارج از محدوده در فرآیند iked امکان اجرای کد دلخواه از راه دور را فراهم می کند. این ضعف به‌ویژه در محیط‌هایی که پورت‌های IKEv2 (UDP 500 و 4500) در معرض دسترسی اینترنت قرار دارند، می‌تواند منجر به کنترل کامل دستگاه Firebox، افشای داده‌های حساس و اختلال گسترده در سرویس‌های VPN شود. با توجه به انتشار نسخه‌های امن و گزارش‌های بهره‌برداری فعال توسط CISA، اجرای اقدامات زیر برای جلوگیری از بهره‌برداری و کاهش سطح ریسک ضروری است:

• به‌روزرسانی فوری: تمام دستگاه‌های Firebox را به نسخه‌های پچ‌شده 1.1، 12.11.4، 12.5.13 و_Update3 12.3.1 به روزرسانی کنید. این اقدام، مؤثرترین و قطعی‌ترین راهکار برای رفع آسیب‌پذیری است و باید در اولویت قرار گیرد. سایر اقدامات نقش مکمل را دارند و می‌توانند به کاهش ریسک این آسیب پذیری و مقابله با حملات مشابه کمک کنند.
• باز نشانی رمزها و کلیدهای لوکال (Rotate Stored Secrets): تمام رمزها و کلیدهای لوکال (Local Secrets) مانند کلیدهای VPN، رمزهای عبور و گواهی‌ها را طبق Best Practices شرکت WatchGuard جایگزین کنید تا سوءاستفاده احتمالی کاهش یابد.
• غیرفعال‌سازی موقت IKEv2: اگر امکان به‌روزرسانی فوری وجود ندارد، Mobile User VPN و Branch Office VPN با IKEv2 را موقتاً غیرفعال کنید یا در صورت امکان از IPSec با IKEv1 استفاده کنید تا سطح ریسک کاهش یابد.
• محدودسازی دسترسی: پورت‌های UDP 500/4500 را با فایروال محدود کرده و تنها دسترسی از IPهای معتبر یا مناطق جغرافیایی مشخص (Geo/IP Allowlist) را مجاز کنید
• نظارت و ثبت لاگ: لاگ‌های iked را با سطح Info یا بالاتر مانیتور کنید و از ابزارهایی مانند SIEM برای شناسایی شاخص های حمله (IoA) مانند اندازه غیرعادی پیلودهای IDi (بزرگ‌تر از 100 بایت)، هنگ فرآیند IKE یا کرش ها بهره ببرید؛ همچنین مذاکرات غیرعادی IKEv2 یا تکرار پیلودهای CERT را بررسی کنید.
• ایزوله‌سازی و شبکه جداگانه: دستگاه‌های Firebox را در شبکه‌های ایزوله مستقر کنید. از ابزارهای containerization با سیاست‌های امنیتی مانند SELinux برای محدود کردن تأثیر اجرای کد استفاده نمایید و اتصالات خروجی غیرمنتظره از فایروال را مسدود کنید.
• تست نفوذ و اسکن: دستگاه‌ها را با ابزارهایی مانند Nessus، OpenVAS یا Metasploit اسکن کنید تا سناریوهای نوشتن خارج از محدوده شناسایی شود؛ همچنین از fuzzing (تست تصادفی ورودی) برای ارزیابی پیلودهای IKEv2 بهره ببرید و بررسی کنید آیا peerهای پویا وجود دارند یا پورت‌ها اینترنت در معرض هستند یا خیر.
• آموزش و سیاست‌ها: تیم‌های IT را درباره ریسک‌های IKEv2 در Firebox و ضرورت بررسی لاگ‌ها و محدودسازی دسترسی آموزش دهید و سیاست های حداقل دسترسی را برای پیکربندی‌های VPN اعمال کنید.

اجرای این اقدامات، به‌ویژه به‌روزرسانی سریع و محدودسازی پورت‌های IKEv2، ریسک بهره‌برداری از این آسیب‌پذیری را به حداقل رسانده و امنیت زیرساخت‌های WatchGuard Firebox را به طور قابل توجهی افزایش می دهد.

امکان استفاده در تاکتیک های Mitre Attack

Initial Access (TA0001)

مهاجم از طریق پورت‌های اکسپوز‌شده IKEv2 روی اینترنت UDP/500 و UDP/4500 یک جریان SA Init → IKE_AUTH مخرب ارسال می‌کند و بدون نیاز به احراز هویت، پردازش iked را وارد مسیر خطای حافظه می‌کند. این ورودی یک نقطه دسترسی مستقیم، غیرتعامل‌محور و قابل‌خودکارسازی محسوب می‌شود.

Execution (TA0002)

نوشتن خارج از محدوده در سرویس iked موجب کنترل جریان اجرای برنامه و اجرای کد دلخواه روی Fireware OS می‌شود. مهاجم می‌تواند یک شِل سیستمی اجرا کرده و پردازش‌های سطح سیستم را تصاحب کند؛ این بخش تأییدشده و با PoC منتشرشده کاملاً هم‌خوان است.

Privilege Escalation (TA0004)

کد تزریق‌شده در کانتکست iked اجرا می‌شود که خود با سطح دسترسی سیستمی اجرا می‌شود؛ بنابراین افزایش سطح دسترسی به روت و تسلط کامل بر دستگاه Firebox یک نتیجه مستقیم و قابل‌انتظار است.

Defense Evasion (TA0005)

اجرای کد در سرویس سیستمی به مهاجم اجازه می‌دهد فایل‌ها، باینری‌ها یا تنظیمات امنیتی را تغییر دهد و با توجه به محدودیت‌های لاگ iked، بخش زیادی از این فعالیت‌ها بدون هشدار قابل انجام است. مهاجم می‌تواند بک‌دور سطح سیستم ایجاد کرده و از مسیرهای عادی تشخیص عبور کند.

Credential Access (TA0006)

با کنترل کامل دستگاه، مهاجم می‌تواند کلیدهای VPN، PSKها، گواهی‌ها و فایل‌های پیکربندی ذخیره‌شده را استخراج کند. این داده‌ها مستقیماً در سیستم ذخیره می‌شوند و دسترسی به آن‌ها به معنای افشای ماده کلیدهای رمزنگاری است.

Discovery (TA0007)

پس از استقرار شِل، مهاجم می‌تواند ساختار فایل‌سیستم، تنظیمات شبکه، جدول تونل‌های VPN، نسخه Fireware و ماژول‌های فعال را شناسایی کند. این مرحله پایه آماده‌سازی برای حرکات بعدی و بررسی سطح حمله است.

Lateral Movement (TA0008)

با در اختیار گرفتن کلیدهای VPN و کنترل سرویس IKEv2، مهاجم می‌تواند تونل‌های جدید ایجاد کند یا از تونل‌های موجود برای ورود به شبکه داخلی سازمان استفاده کند. این استفاده از BO‑VPN/MUVPN برای گسترش حمله کاملاً منطبق با رفتار منطقی مهاجم است.

Collection (TA0009)

مهاجم پس از کنترل دستگاه می‌تواند لاگ‌ها، فایل‌های سیستمی، تنظیمات امنیتی، کلیدهای ارتباطی و داده‌های مدیریتی را جمع‌آوری کند. این داده‌ها به‌صورت لوکال روی Firebox قابل دسترسی هستند.

Exfiltration (TA0010)

مهاجم می‌تواند داده‌های جمع‌آوری‌شده را از طریق همان تونل‌های VPN کنترل‌شده یا کانال‌های خروجی که دستگاه به‌صورت پیش‌فرض دارد، به خارج منتقل کند. این خروج داده نیاز به کانال جدید ندارد.

Impact (TA0040)

اجرای کد روی دستگاه امنیتی سطح سازمان می‌تواند منجر به تخریب تنظیمات فایروال، توقف سرویس VPN، ایجاد اختلال در تونل‌ها، پاک‌سازی فایل‌ها یا حتی Brick کردن دستگاه شود. این حمله به‌صورت هم‌زمان محرمانگی، یکپارچگی و دسترس‌پذیری را نقض می‌کند.

منابع

1. https://www.cve.org/CVERecord?id=CVE-2025-9242
2. https://www.cvedetails.com/cve/CVE-2025-9242/
3. https://www.watchguard.com/wgrd-psirt/advisory/wgsa-2025-00015
4. https://vulmon.com/vulnerabilitydetails?qid=CVE-2025-9242
5. https://vuldb.com/?id.324631
6. https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2025-9242
7. https://github.com/watchtowrlabs/watchTowr-vs-WatchGuard-CVE-2025-9242
8. https://github.com/pulsecipher/CVE-2025-9242
9. https://nvd.nist.gov/vuln/detail/CVE-2025-9242
10. https://cwe.mitre.org/data/definitions/787.html