各位
https://www.jpcert.or.jp/at/2025/at250027.html
I. 概要2025年12月18日(現地時間)、WatchGuardがFireboxに搭載されているFireware OSのiked(VPN接続を処理するサービス)における境界外書き込みの脆弱性(CVE-2025-14733)に関するアドバイザリを公表しました。本脆弱性を悪用されると、遠隔の第三者によって認証なしで任意のコードを実行される可能性があります。なお、WatchGuardによると、アドバイザリ公表時点で本脆弱性の悪用を観測しているとのことです。
WatchGuard
WatchGuard Firebox iked Out of Bounds Write Vulnerability
https://www.watchguard.com/wgrd-psirt/advisory/wgsa-2025-00027
JPCERT/CCは、対象製品が国内で広く利用されていることを確認しています。対象となる製品を利用している場合、WatchGuardが提供する情報などを参考に、侵害調査、対策および回避策の適用を行ってください。
II. 対象本脆弱性の対象となる製品およびバージョンは次のとおりです。対象となるFireware OSのバージョンは、製品によって異なります。詳細な製品の一覧は、WatchGuardのアドバイザリをご確認ください。
Fireware OS
- 2025.1.4より前のバージョン(2025.1系)
- 12.11.6より前のバージョン(12.x系)
- 12.5.15より前のバージョン(12.5.x系)
- 12.3.1_Update4(B728352)より前のバージョン
- 11.x系の全バージョン(※11.x系はEOLとなっています)
本脆弱性は、動的ゲートウェイピアで構成されたIKEv2を使用したモバイルユーザーVPN(MUVPN)とブランチオフィスVPN(BOVPN)の両方に影響します。なお、同製品が以前にIKEv2を使用したMUVPNまたは動的ゲートウェイピアへのIKEv2を使用したBOVPNで構成され、その後それらの構成が両方とも削除された場合でも、静的ゲートウェイピアへのBOVPNがまだ構成されている場合、依然として脆弱である可能性があります。
III. 対策WatchGuardのアドバイザリを参考に、本脆弱性を修正する最新のアップデートを適用してください。
IV. 回避策WatchGuardは、修正済みバージョンをすぐに適用ができない場合の暫定回避策を提供しています。ただし、この回避策は、静的ゲートウェイピアへのBOVPNでのみ構成・運用している環境で有効です。
WatchGuard
Secure Access to Branch Office VPNs that Use IPSec and IKEv2
https://techsearch.watchguard.com/KB?type=Article&SFDCID=kA1Vr000000DMXNKA4
V. 侵害検出方法WatchGuardが提供する最新の情報などを参考に、本脆弱性を悪用する攻撃の被害を受けていないかご確認いただくことを推奨します。WatchGuardのアドバイザリには、脆弱性が悪用された可能性を示すログや攻撃者のIPアドレスなどの情報が公開されています。
攻撃の痕跡を確認した場合、WatchGuardはFireboxのローカル上に保存されたすべての秘密情報をローテーションすることを推奨しています。
WatchGuard
Best Practices to Rotate Shared Secrets Stored on the Firebox
https://techsearch.watchguard.com/KB?type=Article&SFDCID=kA1Vr000000DNMzKAO
VI. 参考情報
WatchGuard
【緊急】Fireboxのアップデートのお願い
https://www.watchguard.co.jp/security-news/urgent-firebox-update-request-cve-2025-14773.html
今回の件につきまして提供いただける情報がございましたら、JPCERT/CCまでご連絡ください。
==============================
一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)
早期警戒グループ
Email:ew-info@jpcert.or.jp
JPCERT-AT-2025-0027
JPCERT/CC
2025-12-22
JPCERT/CC Alert 2025-12-22
WatchGuard製Fireboxのikedにおける境界外書き込みの脆弱性(CVE-2025-14733)に関する注意喚起https://www.jpcert.or.jp/at/2025/at250027.html
I. 概要2025年12月18日(現地時間)、WatchGuardがFireboxに搭載されているFireware OSのiked(VPN接続を処理するサービス)における境界外書き込みの脆弱性(CVE-2025-14733)に関するアドバイザリを公表しました。本脆弱性を悪用されると、遠隔の第三者によって認証なしで任意のコードを実行される可能性があります。なお、WatchGuardによると、アドバイザリ公表時点で本脆弱性の悪用を観測しているとのことです。
WatchGuard
WatchGuard Firebox iked Out of Bounds Write Vulnerability
https://www.watchguard.com/wgrd-psirt/advisory/wgsa-2025-00027
JPCERT/CCは、対象製品が国内で広く利用されていることを確認しています。対象となる製品を利用している場合、WatchGuardが提供する情報などを参考に、侵害調査、対策および回避策の適用を行ってください。
II. 対象本脆弱性の対象となる製品およびバージョンは次のとおりです。対象となるFireware OSのバージョンは、製品によって異なります。詳細な製品の一覧は、WatchGuardのアドバイザリをご確認ください。
Fireware OS
- 2025.1.4より前のバージョン(2025.1系)
- 12.11.6より前のバージョン(12.x系)
- 12.5.15より前のバージョン(12.5.x系)
- 12.3.1_Update4(B728352)より前のバージョン
- 11.x系の全バージョン(※11.x系はEOLとなっています)
本脆弱性は、動的ゲートウェイピアで構成されたIKEv2を使用したモバイルユーザーVPN(MUVPN)とブランチオフィスVPN(BOVPN)の両方に影響します。なお、同製品が以前にIKEv2を使用したMUVPNまたは動的ゲートウェイピアへのIKEv2を使用したBOVPNで構成され、その後それらの構成が両方とも削除された場合でも、静的ゲートウェイピアへのBOVPNがまだ構成されている場合、依然として脆弱である可能性があります。
III. 対策WatchGuardのアドバイザリを参考に、本脆弱性を修正する最新のアップデートを適用してください。
IV. 回避策WatchGuardは、修正済みバージョンをすぐに適用ができない場合の暫定回避策を提供しています。ただし、この回避策は、静的ゲートウェイピアへのBOVPNでのみ構成・運用している環境で有効です。
WatchGuard
Secure Access to Branch Office VPNs that Use IPSec and IKEv2
https://techsearch.watchguard.com/KB?type=Article&SFDCID=kA1Vr000000DMXNKA4
V. 侵害検出方法WatchGuardが提供する最新の情報などを参考に、本脆弱性を悪用する攻撃の被害を受けていないかご確認いただくことを推奨します。WatchGuardのアドバイザリには、脆弱性が悪用された可能性を示すログや攻撃者のIPアドレスなどの情報が公開されています。
攻撃の痕跡を確認した場合、WatchGuardはFireboxのローカル上に保存されたすべての秘密情報をローテーションすることを推奨しています。
WatchGuard
Best Practices to Rotate Shared Secrets Stored on the Firebox
https://techsearch.watchguard.com/KB?type=Article&SFDCID=kA1Vr000000DNMzKAO
VI. 参考情報
WatchGuard
【緊急】Fireboxのアップデートのお願い
https://www.watchguard.co.jp/security-news/urgent-firebox-update-request-cve-2025-14773.html
今回の件につきまして提供いただける情報がございましたら、JPCERT/CCまでご連絡ください。
==============================
一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)
早期警戒グループ
Email:ew-info@jpcert.or.jp
前
コメント
共 有
