شرکت WatchGuard پچ های امنیتی فوری برای یک آسیبپذیری بحرانی در Fireware OS منتشر کرده است؛ نقصی که بنا به اعلام رسمی شرکت، بهطور فعال در حملات واقعی مورد سوءاستفاده قرار گرفته است.
این آسیبپذیری با شناسه CVE-2025-14733 و امتیاز شدت CVSS 9.3 (Critical) ثبت شده و از نوع Out-of-Bounds Write در فرآیند iked است؛ ضعفی که میتواند به مهاجم راهدور و بدون احراز هویت اجازه اجرای کد دلخواه بدهد.
محدوده اثرگذاری آسیبپذیری در Fireware OS
WatchGuard اعلام کرده است:
این نقص هم VPN کاربران راهدور (Mobile User VPN) مبتنی بر IKEv2 و هم Branch Office VPN مبتنی بر IKEv2 را در صورتی که با Dynamic Gateway Peer پیکربندی شده باشند، تحت تأثیر قرار میدهد.
نکته بسیار مهم عملیاتی:
حتی اگر:
قبلاً VPN مبتنی بر IKEv2 با Dynamic Peer داشتهاید
و بعداً آن را حذف کردهاید
اما:
اگر هنوز BOVPN با Static Gateway Peer فعال باشد
➡️ دستگاه ممکن است همچنان آسیبپذیر باشد
این یعنی:
❗ حذف کانفیگ لزوماً به معنای حذف ریسک نیست.
نسخههای آسیبپذیر و اصلاحشده Fireware OS
| نسخه | وضعیت |
|---|---|
| 2025.1 | اصلاحشده در 2025.1.4 |
| 12.x | اصلاحشده در 12.11.6 |
| 12.5.x (مدلهای T15 & T35) | اصلاحشده در 12.5.15 |
| 12.3.1 (نسخه FIPS) | اصلاحشده در Update4 |
| 11.x | End-of-Life (بدون پچ) |
📌 هر تجهیزی روی بِرنچ 11.x = ریسک قطعی
شواهد اکسپلویت فعال (Active Exploitation)
WatchGuard تأیید کرده مهاجمان در حال اکسپلویت واقعی هستند. IPهای مشاهدهشده:
45.95.19[.]50
51.15.17[.]89
172.93.107[.]67
199.247.7[.]82
🔴 نکته مهم همبستگی:
IP 199.247.7[.]82 پیشتر توسط Arctic Wolf در حملات Fortinet (CVE-2025-59718 / 59719) نیز مشاهده شده بود.
➡️ احتمال کمپین هماهنگ علیه Edge Deviceها
شاخصهای نفوذ (IoC)
WatchGuard چند IoC کلیدی برای شناسایی نفوذ منتشر کرده است:
لاگ:
Received peer certificate chain is longer than 8
پیام IKE_AUTH با:
CERT Payload غیرعادی (بیش از 2000 بایت)
در حین اکسپلویت موفق:
فرآیند iked Hang میکند
ارتباط VPN قطع میشود
پس از اکسپلویت موفق یا ناموفق:
کرش iked
تولید Fault Report روی Firebox
سابقه خطرناک WatchGuard در KEV
این رخداد کمی بیش از یک ماه پس از آن است که CISA یک آسیبپذیری بحرانی دیگر WatchGuard با شناسه CVE-2025-9242 را به لیست Known Exploited Vulnerabilities (KEV) اضافه کرد.
در حال حاضر مشخص نیست این دو کمپین به هم مرتبطاند یا نه، اما الگو نگرانکننده است.
اقدامات فوری دفاعی (Actionable Mitigation)
WatchGuard توصیه میکند:
1️⃣ پچ فوری به آخرین نسخه امن
2️⃣ در صورت استفاده از BOVPN آسیبپذیر:
غیرفعالسازی Dynamic Peer
تعریف Alias شامل IPهای ثابت Peerها
ایجاد Policyهای اختصاصی برای Alias
غیرفعالسازی Policyهای پیشفرض VPN
3️⃣ بررسی لاگها و Fault Reportها
4️⃣ در صورت مشاهده IoC:
فرض compromise
بازبینی کامل کانفیگ VPN
جمعبندی تحلیلی Vulnerbyte
این حمله نشان میدهد:
IKEv2 در Edge Deviceها سطح حمله بسیار جذابی است
Dynamic Gatewayها ریسک ذاتی دارند
تنظیمات قدیمی حذفشده هم میتوانند اثرات باقیمانده خطرناک داشته باشند
VPN = High-Value Target
و بدون پچ، تبدیل به درِ ورودی مهاجم میشود.
