WatchGuard Firebox cihazlarında, uzaktaki saldırganların kimlik doğrulaması olmadan rastgele kod yürütmesine olanak verebilecek kritik bir güvenlik açığı keşfedildi.
CVE-2025-9242 olarak tanımlanan kusur, IKEv2 VPN hizmetini etkiliyor ve CVSS 4.0 kapsamında bu güvenlik cihazlarını kullanan kuruluşlar için kritik bir tehdit olarak işaretleyen 9,3 önem derecesine sahip.
| CVE | Darbe | CVSS Puanı |
| CVE-2025-9242 | Kritik | 9.3 |
Güvenlik Açığı Anlamak
Güvenlik açığı, WatchGuard Fireware OS’nin iked sürecindeki sınır dışı yazma sorunundan kaynaklanıyor.
Bu kusur, özellikle IKEv2 ile mobil kullanıcı VPN’i veya dinamik ağ geçidi eşleriyle şube ofisi VPN yapılandırmaları kullanan kuruluşları etkiler.
Güvenlik araştırmacıları, güvenlik açığının aslında yığın tabanlı bir arabellek taşması olduğunu keşfetti; bu, 1990’ların sonlarında daha sık görülen ancak modern kurumsal sistemlerde bulunduğunda hala tehlikeli olmaya devam eden bir tür güvenlik zayıflığıdır.
Kusur, IKEv2 kimlik doğrulama işlemi sırasında sistemin kimlik verilerini işleme biçiminde mevcuttur. Bir istemci VPN hizmetine bağlandığında, sistem kimlik bilgilerini yığındaki sabit boyutlu bir ara belleğe kopyalar.
Ancak güvenlik açığı bulunan sürümler, kopyalamadan önce bu verinin uzunluğunu düzgün bir şekilde doğrulamakta başarısız oluyor, bu da saldırganların arabelleği aşmasına ve kayıtlı kayıt değerleri ve dönüş adresi dahil olmak üzere kritik bellek bölgelerinin üzerine yazmasına olanak tanıyor.
Bu güvenlik açığını özellikle endişe verici kılan şey, herhangi bir kimlik doğrulaması olmadan uzaktan yararlanılabilmesidir.
Saldırganlar, genellikle UDP bağlantı noktası 500 üzerinde çalışan ve sıklıkla internete açık olan VPN hizmetine özel hazırlanmış IKEv2 paketleri göndererek güvenlik açığı bulunan kod yoluna ulaşabilir.
WatchTowr Labs’ın güvenlik araştırmacıları, yığını bozan ve program yürütme akışını kaçıran büyük boyutlu tanımlama verileri göndererek istismarı başarıyla gösterdi.
Kullanım süreci iki aşamadan oluşur. Saldırganlar öncelikle kriptografik parametreler üzerinde anlaşmak için bir IKE_SA_INIT paketi gönderir, ardından kötü amaçlı yükü içeren bir IKE_SA_AUTH paketi gönderir.
Saldırganlar, tanımlama arabelleğini 520 baytı aşacak şekilde dikkatlice hazırlayarak, kritik CPU kayıtlarını kontrol edebilir ve program yürütmeyi kendi kodlarına yönlendirebilir.
Araştırmacılar, güvenlik korumalarını atlamak ve kök ayrıcalıklarıyla uzaktan kod yürütmeyi sağlamak için geri dönüş odaklı programlama tekniklerini kullanarak eksiksiz bir yararlanma zinciri geliştirdiler.
Bu güvenlik açığı, Fireware OS 11.10.2 – 11.12.4_Update1, 12.0 – 12.11.3 ve 2025.1 sürümlerini çalıştıran çok çeşitli WatchGuard Firebox modellerini etkilemektedir.
10 milyondan fazla güvenli uç noktayla dünya çapında 250.000’den fazla kuruluşu koruduğunu iddia eden WatchGuard, sorunu çözmek için yamalar yayınladı.
Kuruluşlar, Fireware OS sürüm 2025.1.1’e, 12.x serisi için sürüm 12.11.4’e, T15 ve T35 modelleri için sürüm 12.5.13’e veya FIPS sertifikalı sürümler için sürüm 12.3.1_Update3’e hemen yükseltme yapmalıdır.
Hemen yükseltme yapamayan kuruluşlar için WatchGuard, statik ağ geçidi eşleriyle yapılandırılmış şube ofisi VPN tünelleri için geçici çözümlerin uygulanmasını önerir.
Ancak en etkili koruma güvenlik yamalarını en kısa sürede uygulamaktır.
Güvenlik açığı, güvenlik araştırmacısı Btaol’a atfedildi ve kuruluşların savunmasız sistemleri tanımlamasına ve korumasına yardımcı olmak için ayrıntılı teknik analiz ve tespit araçları watchTowr Labs tarafından yayınlandı.
Bu kusurun kritik doğası ve kimliği doğrulanmamış uzaktan istismar potansiyeli göz önüne alındığında, WatchGuard kullanıcılarının bu güncellemeyi acil bir öncelik olarak ele alması gerekir.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.