WatchGuard, Fireware işletim sistemindeki kritik bir sınır dışı yazma güvenlik açığını açığa çıkardı; bu güvenlik açığı, kimliği doğrulanmamış uzaktaki saldırganların IKEv2 VPN bağlantıları aracılığıyla rastgele kod yürütmesine olanak tanıyor.
WGSA-2025-00015 tavsiyesi kapsamında CVE-2025-9242 olarak adlandırılan kusur, CVSS 4.0’da 9,3 puan taşıyor ve Firebox cihazlarında yüksek etkili kullanım potansiyelinin altını çiziyor.
17 Eylül 2025’te yayınlanan ve iki gün sonra güncellenen bu sorun, 11.10.2 – 11.12.4_Update1, 12.0 – 12.11.3 ve 2025.1 sürümlerini etkileyerek binlerce küçük ve orta ölçekli işletmeyi tam sistem güvenliğinin ihlali gibi risklere maruz bırakıyor.
250.000’den fazla kuruluşu ve 10 milyondan fazla uç noktayı koruyan WatchGuard, fidye yazılımlarından veya çevre savunmalarını hedef alan diğer kötü niyetli aktörlerden kaynaklanan tehditleri azaltmak için derhal yama uygulanmasını öneriyor.
Güvenlik açığı, mobil kullanıcılar ve dinamik ağ geçidi eşleriyle yapılandırılmış şube ofisi VPN’leri için IKEv2 anlaşmalarını yöneten Fireware OS’nin IKE sürecinde bulunuyor.
WatchGuard VPN’de Güvenlik Açığı
Bir saldırgan, ike2_ProcessPayload_CERT işlevinde sınır dışı yazmayı tetiklemek için hazırlanmış IKE_SA_INIT ve IKE_SA_AUTH paketleri gönderebilir; burada saldırgan tarafından kontrol edilen kimlik verileri, yeterli sınır denetimi olmadan 520 baytlık yığın arabelleğini taşar.
Silinen VPN yapılandırmaları bile, statik eşlerin etkin kalması durumunda, UDP bağlantı noktası 500 üzerinden ön kimlik doğrulama erişimine izin vererek, artık güvenlik açıkları bırakabilir.
WatchTowr Labs’teki güvenlik araştırmacıları, keşif için btaol’a güvenerek, savunmasız 12.11.3 ve yamalı 12.11.4 sürümleri arasındaki farkları yama yoluyla kodu tersine tasarladılar ve düzeltme olarak basit bir uzunluk kontrolü eklemesini ortaya çıkardılar.
1996’ya dayanan ilkel bir durum olan bu yığın tabanlı arabellek taşması, NX etkin olmasına rağmen PIE veya yığın kanaryaları gibi modern azaltımlardan yoksun 2025 kurumsal donanımında devam ediyor.
CVE-2025-9242’den yararlanmak, kolay tanımlama için “VN=12.11.3 BN=719894” gibi base64 kodlu ayrıntıları içeren IKE_SA_INIT yanıtlarındaki özel bir Satıcı Kimliği verisi aracılığıyla donanım yazılımı sürümünün parmak izinin alınmasını içerir.
Saldırganlar daha sonra AES-256 ve Diffie-Hellman Group 14 gibi dönüşümler üzerinde pazarlık yapar ve ardından kayıtları bozmak ve kontrol akışını ele geçirmek için IKE_SA_AUTH’da aşırı büyük bir kimlik yükü göndermeden önce segmentasyon hatasına veya ROP zincirine yol açar.
WatchTowr, aygıtları yığın yürütmesi için mprotect’i çağıracak şekilde zincirleyerek, bir kök Python yorumlayıcısı oluşturan ters TCP kabuk kodunu dağıtarak, potansiyel olarak tam kabuk erişimi için dosya sisteminin yeniden bağlanmasını veya BusyBox indirmelerini etkinleştirerek uzaktan kod yürütmeyi gösterdi.
Genellikle internete bakan sınır olan Firebox cihazları riskleri artırır; bir ihlal, dahili ağlara, veri sızmasına veya güçlü bir bölümlendirmenin olmadığı ortamlarda kalıcı arka kapılara dönüşebilir.
Azaltmalar
WatchGuard güncellenmiş sürümlerde sorunu çözdü: 2025 şubesi için 2025.1.1, 12.x için 12.11.4, T15/T35 modelleri için 12.5.13 ve FIPS sertifikalı 12.3.1 için 12.3.1_Update3; 11.x artık kullanım ömrünün sonuna geldi.
Etkilenen ürünler arasında T20 – M690 serisi, Cloud ve NV5/V modelleri de dahil olmak üzere Firebox aileleri yer alıyor.
Geçici bir çözüm olarak kuruluşlar, WatchGuard’ın erişim kontrolleriyle ilgili KB makalesine göre IPSec/IKEv2 şube ofisi VPN’lerini güvence altına almalı ve mümkünse gereksiz IKEv2’yi devre dışı bırakmalıdır.
Henüz hiçbir açık kullanım doğrulanmadı, ancak kimliği doğrulanmamış yapı ve ayrıntılı kamu analizi aciliyeti artırıyor; kullanıcılar, anormal IKE trafiğine karşı günlükleri izlemeli ve kritik ağ geçitleri olarak hizmet veren VPN yoğunlaştırıcılarını korumak için yamaları derhal uygulamalıdır.
Günlük siber güvenlik güncellemeleri için bizi Google Haberler, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.
