WatchGuard załatał krytyczną lukę CVE-2025-9242 w Fireware OS.

Luka w WatchGuard Fireware OS pozwala zdalnemu, niezalogowanemu atakującemu wykonać dowolny kod na podatnych urządzeniach, co może prowadzić do całkowitego przejęcia kontroli nad nimi. Dotknięte nią wersje to m.in.: Fireware 11.10.2 – 11.12.4_Update1, 12.0 – 12.11.3 oraz 2025.1. 

Luka dotyczy konfiguracji korzystających z Mobile User VPN z IKEv2 oraz Branch Office VPN z IKEv2 z dynamiczną bramą peer. Nawet jeśli te dynamiczne ustawienia zostaną usunięte, urządzenia mogą pozostać podatne – jeśli nadal działa BOVPN skonfigurowany ze statyczną bramą. 

Choć dotychczas nie zaobserwowano publicznego wykorzystania tej luki w środowisku produkcyjnym, to urządzenia brzegowe (firewalle, VPN-y) są częstym celem atakujących dążących do uzyskania wstępnego dostępu. Dlatego zaleca się jak najszybsze podjęcie działań ograniczających ryzyko.

Dla użytkowników, którzy nie mogą od razu zainstalować łatki, tymczasowym rozwiązaniem jest postępowanie zgodnie z wytycznymi WatchGuard:

• ograniczenie konfiguracji dynamicznych bram w Branch Office VPN,
• dostosowanie polityk firewal,
• przestrzeganie zaleceń dotyczących bezpiecznego dostępu do BOVPN przy wykorzystaniu IPSec / IKEv2.

Weryfikacja i rekomendacje

• Luka została oficjalnie zgłoszona przez WatchGuard jako WGSA-2025-00015, odpowiadająca CVE-2025-9242.
• CVSS i status: krytyczny, możliwość zdalnej egzekucji kodu bez uwierzytelnienia. 
• Dotknięte wersje i zakres konfiguracji potwierdzają oficjalne źródła (WatchGuard).
• Zalecane wersje z poprawkami: np. 12.3.1_Update3, 12.11.4, 2025.1.1 itp.