WatchGuard, CVE-2025-9242 olarak izlenen ve Firebox güvenlik duvarı cihazlarını etkileyen bir güvenlik açığını ele alan güvenlik güncellemeleri yayınladı. Bu kusur, fireware işletim sisteminde, potansiyel olarak uzak saldırganların IKEV2 VPN ile yapılandırılmış savunmasız cihazlarda keyfi kod yürütmesine izin veren sınır dışı bir yazma zayıflığı içerir.
Resmi olarak CVE-2025-9242 olarak sınıflandırılan güvenlik açığı, Fireware OS sürümlerini 11.x (şu anda yaşam sonu), 12.x ve en son 2025.1 serisini çalıştıran Firebox cihazlarını etkiler. Güvenlik kusuru, VPN bağlantılarını işleyen, özellikle IKEV2 VPN protokolünü kullanarak yapılandırmaları etkileyen IKED Fireware işletim sistemi işleminde bulunur. Bu güvenlik açığından yararlanan saldırganlar, kimlik doğrulamaya ihtiyaç duymadan uzaktan kod yürütme yetenekleri kazanabilir ve savunmasız cihazlar için kritik bir güvenlik tehdidi oluşturabilir.
17 Eylül 2025’te yayınlanan WatchGuard’ın Danışmanlığı, IKEV2 kullanan IKEV2 ile hem mobil kullanıcı VPN’lerinin hem de Şube Ofisi VPN’lerinin (BOVPN), özellikle dinamik ağ geçidi akranlarıyla yapılandırıldığında risk altında olduğunu detaylandırıyor. Özellikle, savunmasız IKEV2 VPN ayarları kaldırılmış olsa bile, statik bir ağ geçidi akranına bir şube ofisi VPN bağlantısı varsa bir ateş kutusu duyarlı kalır.
Firebox Güvenlik Duvarı Güvenlik Açığı (CVE-2025-9242): Etkilenen sürümler ve düzeltmeler
Güvenlik açığı, 11.10.2’den 11.12.4_update1, 12.0 ila 12.11.3 ve 2025.1 serisi arasında Fireware OS sürümlerini etkiler. WatchGuard aşağıdaki sürümlerde düzeltmeler yayınladı:
- 11.x – Yaşam sonu, başka güncelleme yok.
- 12.3.1_update3 (b722811)
- 12.5.13 (T15 ve T35 modelleri için)
- 12.11.4
- 2025.1.1
Firebox güvenlik duvarlarının kullanıcılarının, güvenlik açığının potansiyel olarak kullanılmasını önlemek için bu yamalı sürümleri güncellemeleri şiddetle tavsiye edilir.
Güvenlik Açığı’nın CVSS puanı 9.3. Güvenlik açığını ciddi bir kusur haline getiriyor. Kimliği doğrulanmamış bir uzaktan saldırgan, güvenlik duvarının ve koruduğu ağın tam olarak uzlaşmasına yol açabilecek keyfi kod yürütebilir.
Bu risk, özellikle IKEV2 VPN kullanarak güvenli VPN erişimi için Firebox güvenlik duvarlarına dayanan kuruluşlarla ilgilidir.
Savunmasız cihazlar için geçici çözüm
Yamayı hemen uygulayamayan yöneticiler için WatchGuardStatik ağ geçidi eşlerine şube ofisi VPN tünelleri ile yapılandırılmış savunmasız cihazlar. Bu, dinamik eş VPN’lerin devre dışı bırakılmasını, güvenilir IP adresleri için güvenlik duvarı takma adları oluşturmayı ve belirli bir fire eklemeyi içerirLL politikaları ve varsayılan sistem VPN politikalarını devre dışı bırakma.
Anahtar adımlar şunları içerir:
- Dinamik Eş BOVPN’leri devre dışı bırakın: Dinamik ağ geçidi eşlerini kullanarak VPN tünellerini kaldırın.
- Takma adlar oluşturun: Uzak BOVPN akranlarını temsil eden güvenilir statik IP adreslerinin gruplarını tanımlayın.
- Yeni güvenlik duvarı politikaları ekleyin: VPN trafiğine (UDP bağlantı noktası 500, UDP 4500, AH ve ESP) izin verin.
- Varsayılan VPN politikalarını devre dışı bırakın: Gelen tüm VPN bağlantılarına izin veren yerleşik IPSEC politikalarını kapatın.
Bu geçici çözüm, cihaz resmi yama ile güncellenene kadar pozlamayı en aza indirir.
WatchGuard’ın Danışma (WGSA-2025-00015) uyarıyor:
“Bekleme koruması fireware işletim sistemi IKED işleminde sınır dışı bir şekilde yazma güvenlik açığı, uzaktan kalmamış bir saldırganın keyfi kod yürütmesine izin verebilir. Bu, hem IKEV2 ile mobil kullanıcı VPN’sini hem de dinamik ağ geçidi eşleriyle IKEV2 kullanarak VPN’yi etkiler.”
Şirket, kullanıcıları güvenlik güncellemelerini gecikmeden uygulamaya teşvik eder, çünkü yüksek şiddet puanı vulnoelabilözellikle tehlikeli. Buna ek olarak, kullanıcılar VPN güvenliğini yönetmede, özellikle IKEV2 VPN’yi içeren yapılandırmalarda uyanıklık gösterir.
WatchGuard Firebox cihazlarını kullanan kuruluşlar, CVE-2025-9242 ile ilişkili riskleri azaltmak için Yamalı Fireware OS sürümlerine yükseltmeye öncelik vermelidir.