WatchGuard Firebox’da kritik zaiflik: autentifikatsiyasiz hujumchi kod ishga tushirishi mumkin

Kiberxavfsizlik olamida yana bir xavfli zaiflik aniqlangan. WatchGuard Firebox xavfsizlik devorlari (firewall) operatsion tizimi — Fireware OS ichida topilgan muammo hujumchiga hech qanday autentifikatsiyasiz, ya’ni login-parol kiritmasdan turib, qurilma ustidan to‘liq nazoratni qo‘lga olish imkonini beradi. Bu zaiflik CVE-2025-9242 sifatida ro‘yxatga olingan bo‘lib, unga 9.3 ball (CVSS) berilgan — bu deyarli maksimal darajadagi xavf degani.

Zaiflikning mohiyati

Muammo Fireware OS’dagi iked jarayonida joylashgan. Ushbu jarayon IKEv2 (Internet Key Exchange) protokoli orqali VPN ulanishlarini tashkil qiladi. Ammo maxsus tayyorlangan ma’lumot yuborilganida, iked jarayonida out-of-bounds write sodir bo‘ladi va bu hujumchiga tizimda ixtiyoriy kodni ishga tushirish imkonini beradi.

Bunday hujum oqibatida:

  • xavfsizlik devori butunlay buzilishi,
  • tarmoq trafigi o‘qilishi yoki yo‘naltirilishi,
  • ichki tarmoqlarga kirib borilishi,
  • hatto xavfsizlik operatsiyalarining izdan chiqishi mumkin.

Qaysi qurilmalar xavf ostida?

Zaiflik ma’lum konfiguratsiyalarda ishlayotgan Firebox qurilmalariga ta’sir qiladi:

  • Mobile User VPN (IKEv2)
  • Branch Office VPN (IKEv2, dynamic gateway peer)

Muhim jihati shundaki, hatto zaif VPN sozlamalari o‘chirib tashlangan bo‘lsa ham, agar qurilma static gateway peer bilan ishlashda davom etsa, u hali ham zaif bo‘lishi mumkin.

Ta’sirlangan Fireware OS versiyalari:

  • 11.10.2 dan 11.12.4_Update1 gacha
  • 12.0 dan 12.11.3 gacha
  • 2025.1 versiyasi

Yechim va tavsiyalar

WatchGuard allaqachon muammoni bartaraf etuvchi yangilanishlarni chiqardi. Tavsiya etilgan versiyalar:

  • 2025.1.1
  • 12.11.4
  • 12.5.13 (T15 va T35 modellari uchun)
  • 12.3.1_Update3 (FIPS sertifikatlangan reliz)

Agar tashkilotlar darhol yangilanishni o‘rnata olmasa, vaqtinchalik choralar sifatida WatchGuard tomonidan tavsiya etilgan IPSec/IKEv2 VPNlarni xavfsiz sozlash bo‘yicha amaliyotlar qo‘llanishi mumkin. Biroq mutaxassislar ta’kidlashicha, rasmiy patch o‘rnatish eng samarali va ishonchli yechimdir.

Nega bu muhim?

Bugungi kunda firewall qurilmalari kompaniyalar uchun “birinchi mudofaa chizig‘i” hisoblanadi. Ularning buzilishi nafaqat tashqi hujumchilarga yo‘l ochadi, balki ichki tarmoqdagi barcha axborotlar xavf ostida qolishiga olib keladi. Ayniqsa, davlat idoralari va yirik korporatsiyalarda bunday zaiflik katta zarar keltirishi mumkin.

CVE-2025-9242 — bu kritik darajadagi zaiflik, u barcha Firebox foydalanuvchilarini darhol choralar ko‘rishga majbur qiladi. Yangilanishlarni zudlik bilan o‘rnatish, VPN konfiguratsiyalarini tekshirish va xavfsizlik amaliyotlariga qat’iy rioya qilish har bir tashkilot uchun majburiy ehtiyojga aylandi.