WatchGuard 警告称，Fireware OS VPN 中的关键漏洞正在被积极利用

被追踪为 CVE-2025-14733（CVSS 分数：9.3）的漏洞被描述为影响 iked 进程的越界写入案例，可能允许远程未认证攻击者执行任意代码。
该公司在周四的公告中表示：“这个漏洞影响使用 IKEv2 的移动用户 VPN 和配置为动态网关对等体的分支办公室 VPN。”
“如果 Firebox 之前配置了使用 IKEv2 的移动用户 VPN 或连接到动态网关对等体的分支办公室 VPN，并且这两种配置都已被删除，那么如果连接到静态网关对等体的分支办公室 VPN 仍然配置，该 Firebox 可能仍然存在漏洞。”
该漏洞影响以下版本的 Fireware OS：版本修复版本
2025.12025.1.4
12.x12.11.6
12.5.x （T15 和 T35 型号）12.5.15
12.3.1 （FIPS 认证版本）12.3.1_Update4 （B728352）
11.x （11.10.2及11.12.4_Update1）已达到生命末期

WatchGuard 承认他们观察到威胁行为者正在积极尝试利用这个漏洞，攻击源自以下 IP 地址：

• 45.95.19[.]50
• 51.15.17[.]89
• 172.93.107[.]67
• 199.247.7[.]82

有趣的是，IP 地址“199.247.7[.]82”本周早些时候也被 Arctic Wolf 标记为与最近揭露的两个 Fortinet FortiOS、FortiWeb、FortiProxy 和 FortiSwitchManager 的安全漏洞（CVE-2025-59718 和 CVE-2025-59719，CVSS 分数：9.8）相关。
这家总部位于西雅图的公司还分享了多个可能的被攻击指征（IoCs），设备拥有者可以使用这些信息来判断自己的设备是否受到感染：

• 当 Firebox 接收到携带超过 8 个证书的 IKE2 Auth 有效负载时，日志消息显示“接收到的对等证书链超过 8 个。拒绝该证书链。”
• 包含异常大的 CERT 有效负载（超过 2000 字节）的 IKE_AUTH 请求日志消息。
• 在成功利用漏洞时，iked 进程将会挂起，导致 VPN 连接中断。
• 无论成功还是失败的攻击后，IKED 进程将崩溃并在 Firebox 上生成故障报告。

这一披露发生在美国网络安全和基础设施安全局（CISA）将另一个关键的 WatchGuard Fireware OS 漏洞（CVE-2025-9242，CVSS 分数：9.3）添加到其已知利用漏洞（KEV）目录中的一个多月后，原因是有报告称在积极利用。
目前尚不清楚这两组攻击是否相关。建议用户尽快应用更新以抵御该威胁。
作为对存在漏洞的分支办公室 VPN (BOVPN) 配置的临时缓解措施，该公司建议管理员禁用动态对等 BOVPN，创建一个包含远程 BOVPN 对等体静态 IP 地址的别名，添加新的防火墙策略以允许从该别名访问，并禁用处理 VPN 流量的默认内置策略。