近7.6万台WatchGuard Firebox安全设备存在漏洞 面临高危远程代码执行风险

全球有近7.6万台WatchGuard Firebox网络安全设备暴露在公网上，且仍未修复高危漏洞CVE-2025-9242——远程攻击者无需身份验证，即可利用该漏洞执行代码。

Firebox设备是网络核心防御枢纽，负责管控内网与外网间的流量。它通过策略管理、安全服务、虚拟专用网络提供防护，并借助WatchGuard Cloud实现实时可视化监控。

设备暴露与地域分布：超7.5万台受影响，欧美占比高

据Shadowserver基金会的扫描数据显示，目前全球共有75,835台存在漏洞的Firebox设备，多数分布在欧洲与北美地区。具体国家分布排名如下：

1. 美国：24,500台（数量最多）；

2. 德国：7,300台；

3. 意大利：6,800台；

4. 英国：5,400台；

5. 加拿大：4,100台；

6. 法国：2,000台。

10月19日，Shadowserver基金会曾检测到75,955台存在漏洞的Firebox防火墙。该机构发言人称，当前扫描结果具备可靠性，数据反映的是真实部署设备数量，暂未包含蜜罐（用于诱捕黑客的模拟设备）。

漏洞详情：高危CVE-2025-9242，源于Fireware OS进程漏洞

WatchGuard于9月17日在安全公告中披露CVE-2025-9242漏洞，将其风险等级定为“高危”，CVSS评分为9.3分。该漏洞本质是Fireware OS操作系统中“iked”进程存在“越界写入”问题，而“iked”进程负责处理IKEv2协议的VPN协商流程。

攻击者利用漏洞的方式无需认证：向存在漏洞的Firebox设备发送特制IKEv2数据包，迫使设备将数据写入非预期内存区域，进而触发恶意代码执行。

1. 受影响设备与版本范围

该漏洞仅影响同时满足以下两个条件的Firebox设备：

功能层面：使用IKEv2 VPN且对接“动态网关节点”；

版本层面：Fireware OS版本为11.10.2至11.12.4_Update1、12.0至12.11.3、2025.1。

2. 特殊场景与临时防护

若设备仅配置“分支办公室VPN”且对接“静态网关节点”，暂不受该漏洞直接影响。厂商建议此类用户参考官方文档，通过IPSec与IKEv2协议加固连接，作为临时防护方案。

WatchGuard官方明确建议用户将设备升级至以下安全版本，以彻底修复漏洞：

·2025.1.1

·12.11.4

·12.5.13

·12.3.1_Update3（版本号B722811）

需特别注意：Fireware OS 11.x版本已达“支持终止期”，厂商不再为该版本提供安全更新。仍使用11.x版本的用户，需尽快升级至仍受支持的版本，避免因无法修复漏洞持续暴露风险。

目前尚未有报告显示CVE-2025-9242漏洞已被攻击者活跃利用，但官方强烈建议尚未安装安全更新的管理员，尽快为设备部署补丁——Firebox设备作为网络边界核心防护，一旦被攻陷，可能导致内网完全暴露，风险不可忽视。虽无活跃攻击报告，仍需紧急打补丁。

参考及来源：https://www.bleepingcomputer.com/news/security/over-75-000-watchguard-security-devices-vulnerable-to-critical-rce/