ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) çarşamba günü, ülkeyi etkileyen kritik bir güvenlik açığı ekledi. WatchGuard Fireware Aktif istismarın kanıtlarına dayanarak Bilinen İstismara Uğrayan Güvenlik Açıkları (KEV) kataloğuna.
Söz konusu güvenlik açığı, Fireware OS 11.10.2’den 11.12.4_Update1’e kadar, 12.0’dan 12.11.3’e kadar ve 2025.1’i etkileyen CVE-2025-9242’dir (CVSS puanı: 9.3).
CISA bir danışma belgesinde, “WatchGuard Firebox, işletim sistemi ike işleminde, kimliği doğrulanmamış uzaktaki bir saldırganın rastgele kod çalıştırmasına izin verebilecek, sınır dışı bir yazma güvenlik açığı içeriyor” dedi.
Güvenlik açığının ayrıntıları geçen ay watchTowr Labs tarafından paylaşıldı ve siber güvenlik şirketi, sorunun IKE el sıkışma işlemi sırasında kullanılan kimlik arabelleğindeki eksik uzunluk kontrolünden kaynaklandığını belirtti.
Güvenlik araştırmacısı McCaulay Hudson, “Sunucu, sertifika doğrulama girişiminde bulunuyor, ancak bu doğrulama, güvenlik açığı bulunan kod çalıştırıldıktan sonra gerçekleşiyor ve güvenlik açığı bulunan kod yolumuza, kimlik doğrulama öncesi ulaşılabilir olmasını sağlıyor.” dedi.
Şu anda güvenlik açığının nasıl istismar edildiğine ve bu tür çabaların ölçeğine ilişkin hiçbir ayrıntı bulunmuyor. Shadowserver Foundation’ın verilerine göre, 19 Ekim’deki 75.955’lik yüksek seviyeden 12 Kasım 2025 itibarıyla 54.300’den fazla Firebox örneği kritik hataya karşı savunmasız durumda.
Taramalar, bu cihazların yaklaşık 18.500’ünün ABD’de olduğunu ortaya koyuyor. İtalya (5.400), Birleşik Krallık (4.000), Almanya (3.600) ve Kanada (3.000) ilk beşte yer alıyor. Federal Sivil Yürütme Organı (FCEB) kurumlarının 3 Aralık 2025’e kadar WatchGuard yamalarını uygulamaları tavsiye ediliyor.
Bu gelişme, CISA’nın Windows çekirdeğinde yakın zamanda açıklanan bir kusur olan CVE-2025-62215’i (CVSS puanı: 7,0) ve Gladinet Triofox’ta uygunsuz bir erişim kontrolü güvenlik açığı olan CVE-2025-12480’i (CVSS puanı: 9,1) KEV kataloğuna eklemesiyle gerçekleşti. Google’ın Mandiant Tehdit Savunma ekibi, CVE-2025-12480’in kötüye kullanılmasını UNC6485 olarak takip ettiği bir tehdit aktörüne bağladı.