أصدرت شركة WatchGuard تحديثات عاجلة لمعالجة ثغرة أمنية خطيرة في نظام التشغيل Fireware OS، مؤكدة أنها تتعرض للاستغلال في هجمات فعلية. الثغرة، المسجلة تحت الرمز CVE-2025-14733 بدرجة خطورة 9.3 وفق مقياس CVSS، تتعلق بخلل في عملية iked يسمح بكتابة خارج حدود الذاكرة، ما يتيح لمهاجم عن بُعد غير مصادق تنفيذ تعليمات برمجية عشوائية. وتؤثر الثغرة على كل من شبكة VPN للمستخدمين عبر IKEv2 وشبكة VPN للمكاتب الفرعية عبر IKEv2 عند تهيئتها باستخدام بوابة ديناميكية.
الإصدارات المتأثرة والتحديثات المتوفرة
الثغرة تطال عدة إصدارات من Fireware OS، وقد أصدرت الشركة إصلاحات على النحو التالي:
- الإصدار 2025.1: تم إصلاحه في 2025.1.4
- الإصدار 12.x: تم إصلاحه في 12.11.6
- الإصدار 12.5.x (أجهزة T15 وT35): تم إصلاحه في 12.5.15
- الإصدار 12.3.1 (المعتمد من FIPS): تم إصلاحه في 12.3.1_Update4 (B728352)
- الإصدار 11.x (من 11.10.2 حتى 11.12.4_Update1): وصل إلى نهاية العمر الافتراضي ولم يعد مدعوماً
مؤشرات الاستغلال وعناوين الهجمات
أشارت الشركة إلى أن الهجمات النشطة مصدرها عدة عناوين IP، منها: 45.95.19[.]50 – 51.15.17[.]89 – 172.93.107[.]67 – 199.247.7[.]82 الجدير بالذكر أن العنوان الأخير ارتبط أيضاً باستغلال ثغرات حديثة في منتجات Fortinet مثل FortiOS وFortiWeb وFortiProxy وFortiSwitchManager. كما نشرت WatchGuard مؤشرات اختراق يمكن لمديري الأجهزة الاستعانة بها للكشف عن الإصابة، مثل:
- رسائل سجل تشير إلى سلسلة شهادات أطول من 8.
- طلبات IKE_AUTH بحجم حمولة CERT يتجاوز 2000 بايت.
- توقف عملية iked أثناء الاستغلال مما يؤدي لانقطاع الاتصال عبر VPN.
- انهيار عملية IKED وإصدار تقرير خطأ بعد محاولة الاستغلال.
إجراءات وقائية وتوصيات عاجلة
تأتي هذه الإفصاحات بعد شهر من إدراج وكالة الأمن السيبراني الأمريكية CISA لثغرة أخرى في Fireware OS ضمن قائمة الثغرات المستغلة فعلياً. ورغم عدم وضوح العلاقة بين الهجمات، شددت WatchGuard على ضرورة تثبيت التحديثات فوراً. كما أوصت بحلول مؤقتة للأجهزة ذات إعدادات Branch Office VPN المعرضة للخطر، منها:
- تعطيل الاتصالات الديناميكية في BOVPN.
- إنشاء اسم مستعار يتضمن عناوين IP الثابتة للأقران البعيدين.
- إضافة سياسات جدار ناري جديدة تسمح بالوصول من خلال الاسم المستعار.
- تعطيل السياسات الافتراضية المدمجة التي تدير حركة مرور VPN.
