Shadowserver Vakfı, Fireware OS’nin savunmasız sürümlerini çalıştıran, internete açık 71.000’den fazla WatchGuard cihazını ortaya çıkardı.
CVE-2025-9242 olarak takip edilen kusur, IKEv2 uygulamasındaki sınır dışı yazma güvenlik açığından kaynaklanıyor ve potansiyel olarak uzaktaki saldırganların kimlik doğrulama olmadan rastgele kod yürütmesine olanak tanıyor.
Bu yılın başlarında açıklanan sorun, kurumsal ortamlarda yama yapılmamış güvenlik duvarlarının tehlikelerini vurguluyor; bu tür cihazlar genellikle siber tehditlere karşı ilk savunma hattı olarak hizmet veriyor.
Güvenlik araştırmacıları CVE-2025-9242’yi ilk olarak WatchGuard’ın 12.10.3’ten önceki Fireware OS sürümlerinde işaretledi ve Firebox T serisi ve M serisi cihazlar da dahil olmak üzere şirketin popüler güvenlik duvarı modellerinin geniş bir yelpazesini etkiledi.
Güvenlik açığı, IKEv2 paketlerinin işlenmesi sırasında ortaya çıkıyor ve hatalı sınır denetimi, bellek bozulmasına yol açabiliyor. Saldırganlar internet üzerinden uzaktan bu durumdan yararlanabilir, potansiyel olarak cihazın tam kontrolünü ele geçirebilir ve dahili ağlara yönelebilirler.
WatchGuard Mart 2025’te yamalar yayınlasa da, açığa çıkan örneklerin çok sayıda olması, birçok kuruluşun henüz bunları uygulamadığını ve kritik altyapıyı riske attığını gösteriyor.
WatchGuard Cihazları Maruz
Kendini internetteki güvenlik açıklarını taramaya adamış kar amacı gütmeyen bir kuruluş olan Shadowserver Foundation, bu hafta etkilenen WatchGuard cihazlarının günlük IP verilerini paylaşmaya başladı.
18 Ekim 2025 tarihli raporlarında dünya çapında 71.000’den fazla savunmasız konak tespit edildi; bu rakam, sorunun küresel ölçeğinin altını çiziyor. Bu taramalar, IKEv2 kusurunun bulunduğu, VPN bağlantılarının omurgası olan ISAKMP (İnternet Güvenlik Birliği ve Anahtar Yönetimi Protokolü) trafiğine odaklanır.
Shadowserver’ın Savunmasız ISAKMP raporlama portalı aracılığıyla erişilebilen verileri, ağ savunucularının kendi risklerini tanımlamalarına ve düzeltmelerine yardımcı olmak için anonimleştirilmiş IP adresleri içerir.
Uzmanlar, CVE-2025-9242’den yararlanmanın, özellikle WatchGuard donanımına büyük ölçüde bağımlı olan sağlık ve finans gibi sektörlerde fidye yazılımı dağıtımı veya veri sızması gibi yıkıcı saldırılara yol açabileceği konusunda uyarıyor.
CVSS v3.1’in 9,8 temel puanı onu kritik olarak değerlendiriyor ve kullanıcı etkileşimi gerektirmeden kullanım kolaylığını vurguluyor. Shadowserver, muhtemelen yeni konuşlandırılan veya yanlış yapılandırılmış sistemler nedeniyle, ilk açıklamalardan bu yana savunmasız cihazlarda hafif bir artış olduğunu kaydetti.
WatchGuard, gerekli değilse IKEv2’nin devre dışı bırakılmasının yanı sıra, Fireware OS 12.10.3 veya sonraki sürümlerine derhal güncelleme yapılması konusunda ısrar ediyor. Rapid7 ve Tenable gibi siber güvenlik firmaları da bu önerileri yineleyerek kuruluşlara Shodan veya Shadowserver’ın yayınları gibi araçları kullanarak çevrelerini denetlemelerini tavsiye etti.
Tehdit aktörleri artan jeopolitik gerilimlerin ortasında giderek daha fazla ağ uçlarını hedef alırken, bu olay bir uyandırma çağrısı işlevi görüyor. Hedefteki 71.000’den fazla cihazla proaktif savunma, potansiyel kaosa karşı tek kalkan olmaya devam ediyor.
Günlük siber güvenlik güncellemeleri için bizi Google Haberler, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.
