WatchGuard Firebox 遭遇攻击:CVE-2025–14733 及其对边界安全的真正意义
网络安全 板块
3 分钟阅读 · 2 天前
Press enter or click to view image in full size
WatchGuard 官方通告链接
当你在安全运营中心(SOC)工作足够久,就会开始看到一种模式:攻击者不仅仅追逐漏洞,他们更追逐信任边界。而很少有设备比运行 IKEv2 用于远程或分支 VPN 接入的 WatchGuard Firebox 更深处地嵌在这条边界中。
几天前(没错,我正端着第三杯印度奶茶刷安全通告),WatchGuard 发布了 WGSA-2025–00027,详细披露了 CVE-2025–14733——一个位于 Fireware OS 的 IKED 进程中的高危越界写入漏洞。该漏洞 CVSS 评分为 9.3,CVSS 4.0 向量基本可概括为“网络可利用,无需任何权限”,属于让防御者在凌晨 2 点仍无法安睡的类型。
但真正引起我注意的不是评分,而是通告中埋藏的这句话:
“如果 Firebox 之前配置过动态 IKEv2 VPN 对等体(即使后来被删除),只要存在一个静态 BOVPN 对等体,设备可能仍然易受攻击。”
这一句话,区分了“修补漏洞”与“真正修复攻击窗口”之间的天壤之别。
IKED 守护进程 负责处理以下场景的 IKE_AUTH 协商:
- 移动用户 VPN(IKEv2)
- 使用动态网关对等体的分支办公室 VPN
该漏洞可能允许远程未认证的攻击者在载荷恰好命中正确(或错误,取决于你站在哪一边)位置时实现任意代码执行。
更棘手的是,满足以下条件的 Firebox 仍然可能被利用:
- 过去使用过动态 IKEv2
- 已删除那些配置
- 仍存在一条静态 BOVPN 隧道
残留的“幽灵配置”导致 RCE?典型的“边界失忆症”。
野外观察到的利用后行为
WatchGuard 威胁实验室并没有只说“这可能被利用”——他们表示攻击者正在利用它。
目前已观察到两种已确认的利用后路径:
变种 1:
- 加密配置
- 将其回传至攻击源 IP
变种 2:
- 创建一个包含以下内容的 gzip 归档:
- 当前配置文件
- 本地管理用户数据库
- 回传至同一攻击者 IP
两种情况下,Firebox 不仅被利用,还被洗劫了机密信息。
如果你认为“我的 VPN 已删除所以我没事”……那正是攻击者所押注的心态。
你不应忽视的真实指标
以下是在攻击尝试之前、期间或之后可能出现的实战信号:
强指标
- IKE_AUTH 证书载荷大小 > 2000 字节
- IKED 进程挂起,影响隧道重协商和密钥更新
- VPN 中断或异常的隧道行为
- IKED 崩溃并产生故障报告
中等指标
- 接收到的对等证书链长度超过 8
弱但相关指标
- IKED 崩溃也可能由其他原因引起(但如果结合 VPN 故障?请关联分析)
WatchGuard 发布的 IoC / 攻击者 IP
入站 = 扫描/探测或利用尝试
出站 = 强有力的失陷证据
- 45.95.19[.]50
- 51.15.17[.]89
- 172.93.107[.]67
- 199.247.7[.]82
(此处为可读性做了明确脱敏处理,你懂的)
如果你发现你的 Firebox 主动向这些地址发起出站连接,请先按“已失陷”处理,直到被证明清白,而不是相反。
受影响版本与已修复版本
这一点很重要,因为并非所有分支都一样。请参阅官方通告获取完整版本对应关系。 CSD0tFqvECLokhw9aBeRqsqZFP2mB69a8wnf94N/l3pAXt2H9lSIjXr4eCXydA7Nhc5GvMfzgTGSVlfInbHVH8PD7whWlTKP5zBMvDf36g0aG3ZbnRZvk3E36URvLsVbGCHYdYGIJUtOzZDQFtzeCc22gZ9pvsZHRDhTxgf/+LV4YnFv2djlP/LimuVF0aQn
