吳明宜知名防火牆品牌 WatchGuard 的 Firebox 系列產品爆發嚴重的遠端程式碼執行(RCE)漏洞,資安研究人員發現,目前全球網際網路上有超過 11.5 萬台裝置正曝露於風險之中。
此漏洞編號為 CVE-2025-14733,受影響範圍涵蓋 WatchGuard Firebox OS 11.X 、 12.X 以及 2025.1(含 2025.1.3)等後續版本。漏洞根源位於 WatchGuard Fireware OS 的 iked 行程(即 IKEv2 VPN 關鍵協定常駐程式)中的一個越界寫入 (out of bounds write) 缺陷。在特定的 VPN 配置下,未經驗證的攻擊者只需透過網路傳送精心設計的「惡意 IKEv2 封包」,即可觸發此漏洞。這些惡意封包通常針對欄位長度、數量或排序進行了特殊竄改。
一旦成功利用此漏洞,遠端攻擊者無須任何使用者互動,即可在受害的 Firebox 設備上執行任意程式碼。該漏洞的 CVSS 風險評分高達 9.3,屬於極高危險等級。
WatchGuard 官方已釋出安全更新,並警告偵測到針對此漏洞的攻擊行為。廠商強調,風險主要集中在啟用 IKEv2 VPN 設定的動態對等點(dynamic gateway peer)分公司 VPN(BOVPN)裝置,以及行動裝置 VPN(Mobile VPN)。
針對此威脅,WatchGuard 已提供偵測惡意活動的指標,並建議發現異常活動的用戶應立即輪換本地儲存的憑證。對於無法立即安裝更新的用戶,官方也提供暫時性緩解措施,包括關閉動態對等點 BOVPN 、嚴格執行防火牆安全政策,並停用預設的 VPN 政策。
網路安全監控非營利組織 ShadowServer 基金會的數據顯示,截至上週日,全球網際網路上仍有超過 11 萬台尚未修補漏洞的 WatchGuard Firebox 。美國網路安全暨基礎設施安全局 (CISA) 也已將 CVE-2025-14733 加入「已知被利用漏洞」(Known Exploited Vulnerabilities, KEV) 名錄中。
值得注意的是,WatchGuard 才在九月份修補了一個幾乎相同的 Firebox 漏洞 CVE-2025-9242 。然而 ShadowServer 基金會發現,即使經過一個月,網路上仍有超過 7.5 萬台 Firebox 裝置未進行修補,顯示企業在邊界設備的更新管理上仍有待加強。