【安全圈】CISA 将 WatchGuard Fireware 高危漏洞列入已被利用漏洞目录

关键词

安全漏洞

美国网络安全与基础设施安全局（CISA）于本周三将 WatchGuard Fireware 系统中的一个严重安全漏洞纳入“已知被利用漏洞”（Known Exploited Vulnerabilities, KEV）目录，原因是已发现该漏洞正被活跃利用。该漏洞编号为CVE-2025-9242，CVSS 评分高达 9.3，影响范围广泛，波及 Fireware OS 11.10.2 至 11.12.4_Update1、12.0 至 12.11.3 以及 2025.1 等版本。

CISA 在公告中指出，WatchGuard Firebox 设备中的 Fireware 操作系统存在一个越界写入（out-of-bounds write）漏洞，攻击者可在未经身份验证的情况下远程执行任意代码。漏洞位于操作系统中的iked 进程，该进程负责处理 IKE（Internet Key Exchange）握手协议，是 VPN 功能的核心组件之一。

该漏洞最初由watchTowr Labs在 2025 年 10 月披露。研究人员 McCaulay Hudson 指出，漏洞源于 IKE 握手阶段对标识缓冲区长度缺乏检查。虽然服务器随后会进行证书验证，但验证过程发生在漏洞触发之后，这使得攻击者可以在身份验证之前执行恶意代码。换言之，漏洞在协议认证之前即可被利用，安全风险极高。

目前尚无关于攻击方式和利用规模的详细情报，但根据Shadowserver Foundation的全球扫描数据，截至 2025 年 11 月 12 日，全球仍有超过54,300 台 Firebox 设备暴露在该漏洞风险之下，较 10 月 19 日的 75,955 台虽有所下降，但仍属高危水平。其中，美国境内约有 18,500 台受影响设备，其次是意大利（5,400 台）、英国（4,000 台）、德国（3,600 台）与加拿大（3,000 台）。

CISA 已要求所有美国联邦民用行政机构（FCEB）在2025 年 12 月 3 日前完成补丁修复。WatchGuard 官方已发布安全更新，用户被强烈建议立即升级 Fireware 至最新版本，并关闭对外暴露的 IKE 端口以降低攻击面。

CVE-2025-9242 的加入也伴随另外两项漏洞的更新。CISA 同时将CVE-2025-62215（Windows 内核漏洞，CVSS 评分 7.0）以及CVE-2025-12480（Gladinet Triofox 访问控制缺陷，CVSS 评分 9.1）列入 KEV 目录。其中，后者已被Google Mandiant Threat Defense归因于代号UNC6485的攻击组织，表明其已被用于实际攻击活动。

此次事件再次表明网络边界设备仍是攻击者重点瞄准的高价值目标。VPN 网关、企业防火墙与远程访问设备中的漏洞一旦被武器化，攻击者可直接入侵企业内部网络，绕过传统安全防御。CISA 警告称，所有机构与企业应立即执行漏洞扫描与补丁加固工作，确保关键防火墙设备不再暴露在高危状态之下。

安全圈

网罗圈内热点 专注网络安全

实时资讯一手掌握！

好看你就分享 有用就点个赞

支持「安全圈」就点个三连吧！