🔥 CVE-2025-9242 — 关键性 WatchGuard Firebox VPN 远程代码执行漏洞
Fireware OS (IKEv2) 中的远程未经身份验证代码执行 严重性: 9.8 / 关键 🚨
🎯 攻击面
- 运行在UDP 500/4500端口,通常为VPN访问而公开暴露。
- 利用此漏洞无需凭证,也无需用户交互。
- 高影响力RCE → 完全设备接管 → 可能导致网络泄露。
🧠 技术细节分析
💥 漏洞是由 ike2_ProcessPayload_CERT 函数内部不安全的 memcpy() 操作引起的:
ike2_ProcessPayload_CERT— 对证书负载的边界检查不当。- 攻击者可以制作恶意的 IKEv2 CERT 负载 → 导致内存损坏 → 最终实现 RCE。
⚙️ 关键特征:
- 攻击向量:网络 / 攻击复杂度:低 / 权限要求:无 / 用户交互:无
- 完全影响机密性、完整性和可用性
🛡️ 缓解与修复措施
✅ 立即执行措施
- 将固件升级到您分支对应的已修复版本。
- 如果暂时无法打补丁,临时禁用 IKEv2 VPN。
- 限制 VPN 暴露面(设置地理/IP白名单、上游防火墙规则)。
- 审核日志,查找异常的 IKEv2 协商或重复的 CERT 负载。
🔍 检测清单
- 异常的重新密钥模式
- 过大或格式错误的 CERT 负载
iked进程崩溃或重启- 防火墙发出的意外出站连接
📚 补充说明
- 某些设备即使在移除 IKEv2 移动 VPN 配置后仍然易受攻击 — 因为分支机构 IKEv2 对等点仍会触发存在漏洞的代码路径。
- Firebox 设备在中小企业中广泛部署 → 潜在的暴露范围很大。
- 公开扫描显示存在许多未打补丁的设备。
- 已有公开的检测脚本;功能性的利用代码可能出现。 6HFtX5dABrKlqXeO5PUv/ydjQZDJ7Ct83xG1NG8fcAOR5moWSHD/D24HZqHt/H1k
