a: WatchGuard Fireware OS 存在一个严重漏洞，CVSS 评分高达 9.3，编号为 CVE-2025-9242。该漏洞属于越界写入类型，允许攻击者通过远程方式执行任意代码，对网络安全构成重大威胁。

b: 此漏洞主要影响两种配置场景：一是使用 IKEv2 协议的移动用户 VPN 连接；二是配置了动态网关对等体（BOVPN）且同样使用 IKEv2 协议的分支机构 VPN。WatchGuard 强调，即使已配置 VPN 和 IKEv2 网关对等体，设备仍可能存在风险。

c: 受影响的 Fireware OS 版本包括 11.10.2 至 11.12.4_Update1，12.0 至 12.11.3，以及 2025.1。Shadowserver 基金会估计，截至 10 月 17 日，已有超过 7.1 万台设备可能面临此漏洞的威胁。

d: WatchGuard 提供了临时规避方案，并建议用户尽快将系统升级至已修复漏洞的版本。同时，鉴于 VPN 暴露攻击的增多，建议收紧 BOVPN 的安全访问策略，以限制传入 VPN 流量的范围，进一步增强安全性。

HackerNews 编译，转载请注明出处：

研究人员发现 WatchGuard Fireware OS 存在一个严重漏洞（CVSS4.0 评分 9.3），攻击者可利用该漏洞远程执行任意代码。

该漏洞编号为 CVE-2025-9242，属于越界写入漏洞，影响两类场景：一是使用 IKEv2 协议的移动用户 VPN；二是配置了动态网关对等体、且使用 IKEv2 协议的分支机构 VPN（BOVPN）。

WatchGuard 在安全公告中指出，即便 Firebox 安全平台此前配置过上述 VPN 及 IKEv2 网关对等体，仍可能存在漏洞风险。

该漏洞影响以下 Fireware OS 版本，包含提及的最高版本：

11.10.2 至 11.12.4_Update112.0 至 12.11.32025.1

WatchGuard Firebox 是一款下一代防火墙（NGFW），承担安全网关职能，可控制外部网络与可信网络间的流量，还集成了入侵防御、反垃圾邮件、内容过滤等高级功能。

该设备部署方式灵活，可作为物理设备、云端服务或虚拟机使用。

Shadowserver 基金会表示，依据 10 月 17 日的 IP 数据扫描结果，目前可能有超过 7.1 万台设备存在该漏洞。

该漏洞详情已在美国国家漏洞数据库（NVD）上线，WatchGuard 也已发布相关安全公告。

若 Firebox 仅配置了 “指向静态网关对等体的分支机构 VPN 隧道”，且设备所有者无法立即将系统升级至修复漏洞的 Fireware OS 版本，WatchGuard 已提供临时规避方案。

WatchGuard 在公告中还指出，鉴于针对各类厂商暴露 VPN 的攻击愈发频繁，建议将 BOVPN 安全访问策略配置为更窄的范围，以处理传入的 VPN 流量。

消息来源：infosecurity-magazine；

本文由 HackerNews.cc 翻译整理，封面来源于网络；

转载请注明“转自 HackerNews.cc”并附上原文