أدرجت وكالة الأمن السيبراني وأمن البنية التحتية الأميركية CISA ثغرة حرجة في أنظمة WatchGuard Fireware ضمن قائمة الثغرات المستغلة فعلياً KEV بعدما تأكد وجود نشاط هجومي يستغلها. تتعلق الثغرة بالمعرّف CVE-2025-9242، المصنفة بدرجة خطورة 9.3، وتؤثر على إصدارات Fireware OS من 11.10.2 وحتى 11.12.4_Update1، ومن 12.0 وحتى 12.11.3، إضافة إلى نسخة 2025.1. وقد أصدرت WatchGuard تحديثاً لمعالجة المشكلة في سبتمبر الماضي. وأوضحت CISA أن الخلل يتمثل في ثغرة out-of-bounds write داخل عملية iked بنظام التشغيل، ما يتيح لمهاجم عن بُعد ومن دون مصادقة تنفيذ تعليمات برمجية تعسفية.
خلل بنيوي في آلية التحقق خلال تبادل مفاتيح IKE
كشفت watchTowr Labs تفاصيل الثغرة، موضحة أنها ناتجة عن غياب فحص لطول أحد المخازن المستخدمة أثناء مرحلة المصافحة IKE. ورغم أن الخادم يحاول التحقق من الشهادة، فإن ذلك يحدث بعد مرور التنفيذ على المسار الضعيف، ما يجعل الوصول إلى النقطة الحساسة ممكناً قبل المصادقة. ووفق الباحث ماكولي هادسون، يسمح هذا الخلل بوصول طلبات IKE مع بيانات هوية IDi غير خاضعة للفحص الكافي، لتتجاوز آليات الحماية الأولية.
مؤشرات استغلال نشط وتداعيات على تشغيل VPN
في تحديث صادر يوم 21 أكتوبر 2025، أكدت WatchGuard أنها تملك أدلة على استغلال فعلي للثغرة، ونشرت ثلاثة مؤشرات اختراق تشمل سجل رسائل IKE_AUTH يحتوي على حمولة IDi تتجاوز 100 بايت، وتوقف عملية iked أثناء الهجوم بما يعطل اتصالات VPN، إضافة إلى انهيار العملية بعد محاولة الاستغلال سواء نجحت أو فشلت، مع توليد تقرير خطأ على جهاز Firebox. ورغم جهود التصحيح، تشير بيانات Shadowserver إلى أن أكثر من 54300 جهاز Firebox ما يزال عُرضة للثغرة حتى 12 نوفمبر، انخفاضاً من 75955 جهازاً منتصف أكتوبر.
انتشار واسع وتأثيرات على وكالات حكومية
تكشف عمليات المسح أن نحو 18500 من الأجهزة المتأثرة توجد داخل الولايات المتحدة، تليها إيطاليا بنحو 5400 جهاز، ثم المملكة المتحدة بـ4000 جهاز، وألمانيا بـ3600، وكندا بـ3000. وقد طالبت السلطات الفدرالية الأميركية وكالات FCEB بتطبيق تحديثات WatchGuard قبل 3 ديسمبر 2025. ويأتي ذلك بالتزامن مع إضافة ثغرتين أخريين إلى قائمة KEV هما CVE-2025-62215 في مكونات نواة ويندوز، وCVE-2025-12480 في منصة Gladinet Triofox المصنفة بدرجة خطورة 9.1، والتي نسبت Mandiant استغلالها إلى جهة تهديد تُعرف باسم UNC6485.
