I. 概要
WatchGuard製ファイアウォール「Firebox」に搭載されているFireware OSのiked(VPN接続を処理するサービス)における境界外書き込みの脆弱性(CVE-2025-9242)のアドバイザリが、2025年9月17日(現地時間)に公表されています。本脆弱性が悪用されると、遠隔の第三者に認証を回避され、任意のコードを実行される可能性があります。また、10月16日(現地時間)には、watchTowr Labsが本脆弱性の実証コード(Proof-of-Concept)の解説を含むブログ記事を公開しています。
本脆弱性の悪用に関する情報は本日時点では確認されていないものの、今後、PoCなどを悪用した攻撃の増加が懸念されます。JPCERT/CCは、本脆弱性の影響を受ける対象製品が国内で広く利用されていることを確認しています。以下の情報を確認のうえ、速やかな対策の実施を推奨します。
WatchGuard
WatchGuard Firebox iked Out of Bounds Write Vulnerability ※回避策の詳細あり
https://www.watchguard.com/wgrd-psirt/advisory/wgsa-2025-00015
WatchGuard
WatchGuard Firebox ikedプロセスにおける境界外書込み(Out of Bounds Write)の脆弱性
https://www.watchguard.co.jp/security-news/watchguard-firebox-iked-out-of-bounds-write-vulnerability.html
II. 対象
対象となる製品およびバージョンは次のとおりです。対象となるFireware OSのバージョンは、製品によって異なります。詳細な製品の一覧は、WatchGuardのアドバイザリをご確認ください。
- Fireware OS
- 2025.1
- 12.0から12.11.3まで
- 11.10.2から11.12.4_Update1まで
この脆弱性は、動的ゲートウェイピアで構成されたIKEv2を使用したモバイルユーザーVPN(MUVPN)とブランチオフィスVPN(BOVPN)の両方に影響します。なお、同製品が以前にIKEv2を使用したMUVPNまたは動的ゲートウェイピアへのIKEv2を使用したBOVPNで構成され、その後それらの構成が両方とも削除された場合でも、静的ゲートウェイピアへのBOVPNがまだ構成されている場合、依然として脆弱である可能性があります。
III. 対策
WatchGuardのアドバイザリを参考に、本脆弱性を修正する最新のアップデートを適用してください。
IV. 回避策
WatchGuardは、修正済みバージョンをすぐ適用ができない場合の暫定回避策を提供しています。ただし、この回避策は、静的ゲートウェイピアへのBOVPNでのみ構成・運用している環境で有効です。
WatchGuard
Secure Access to Branch Office VPNs that Use IPSec and IKEv2
https://techsearch.watchguard.com/KB?type=Article&SFDCID=kA1Vr000000DMXNKA4
V. 関連情報
watchTowr Labs
yIKEs (WatchGuard Fireware OS IKEv2 Out-of-Bounds Write CVE-2025-9242)
https://labs.watchtowr.com/yikes-watchguard-fireware-os-ikev2-out-of-bounds-write-cve-2025-9242/
CyberNewsFlashは、注意喚起とは異なり、発行時点では注意喚起の基準に満たない脆弱性の情報やセキュリティアップデート予告なども含まれます。今回の件を含め、提供いただける情報がありましたら、JPCERT/CCまでご連絡ください。
一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)
早期警戒グループ
Email:ew-info@jpcert.or.jp
