WatchGuard Firebox qurilmalarida o‘ta xavfli 0-day zaiflik: 125 mingdan ortiq firewall hujum ostida
Kiberxavfsizlik sohasida jiddiy xavotir uyg‘otgan yangi holat aniqlandi. Shadowserver Foundation tadqiqotchilariga ko‘ra, butun dunyo bo‘ylab taxminan 125 mingdan ortiq WatchGuard Firebox firewall qurilmalari internetga ochiq holda qolgan va faol ekspluatatsiya qilinayotgan o‘ta xavfli 0-day zaiflik tufayli to‘liq nazoratga olinishi mumkin.
Mazkur zaiflik CVE-2025-14733 identifikatori bilan ro‘yxatga olingan bo‘lib, u hujumchilarga hech qanday autentifikatsiyasiz va foydalanuvchi ishtirokisiz masofadan turib kod bajarish (RCE) imkonini beradi.
Zaiflik nimadan kelib chiqmoqda?
CVE-2025-14733 zaifligi WatchGuard Fireware OS tarkibidagi IKEv2 VPN kalit almashinuvi jarayonida yuzaga kelgan out-of-bounds write (xotira chegarasidan tashqariga yozish) xatosi bilan bog‘liq. Aniqrog‘i, bu kamchilik iked jarayonida mavjud bo‘lib, noto‘g‘ri shakllangan IKEv2 paketlari orqali xotira buzilishiga olib keladi.
Mazkur xatolikning xavf darajasi juda yuqori bo‘lib, CVSS 9.8 (Critical) ball bilan baholangan. Eng xavfli jihati shundaki:
- hujum tarmoq orqali amalga oshiriladi
- autentifikatsiya talab etilmaydi
- foydalanuvchi hech narsa bosishi yoki tasdiqlashi shart emas
Bu esa firewall’ni tashqi hujumchilar uchun oson nishonga aylantiradi.
Qaysi konfiguratsiyalar xavf ostida?
WatchGuard kompaniyasining rasmiy bayonotiga ko‘ra, zaiflik ayniqsa quyidagi VPN sozlamalarida faol bo‘ladi:
- IKEv2 asosidagi mobil foydalanuvchi VPN’lari
- IKEv2 bilan ishlovchi filial (branch office) VPN’lari, ayniqsa dinamik gateway ishlatilganda
Eng xavfli holatlardan biri — “zombie konfiguratsiya” deb ataluvchi vaziyatdir. Ya’ni:
- administratorlar zaif VPN sozlamalarini o‘chirgan bo‘lsa ham
- agar eski branch-office VPN tunnellari statik gateway’lar bilan saqlanib qolgan bo‘lsa
- qurilma allaqachon komprometatsiya qilingan bo‘lishi mumkin
Bu holat ko‘plab tashkilotlar uchun kutilmagan xavf tug‘diradi.
Qaysi Fireware versiyalari ta’sirlangan?
Mazkur zaiflik bir nechta Fireware OS versiyalariga ta’sir ko‘rsatadi:
| Fireware versiyasi | Holat | Tavsiya etilgan choralar |
|---|---|---|
| 2025.1 (≤ 2025.1.3) | Zaif | 2025.1.4 ga yangilash |
| 12.x (≤ 12.11.5) | Zaif | 12.11.6 ga yangilash |
| 12.5.x | Zaif | 12.5.15 ga yangilash |
| 12.3.1 (FIPS) | Zaif | Update 4 ga yangilash |
| 11.x | EOL | To‘liq yangilash talab etiladi |
Shadowserver skanerlari shuni ko‘rsatadiki, eng ko‘p zaif qurilmalar Shimoliy Amerika va Yevropa hududlarida joylashgan. Bu holat avvalgi CVE-2025-9242 bilan bog‘liq hodisani eslatadi, o‘shanda ham 75 mingdan ortiq Firebox qurilmalari himoyasiz qolgan edi.
Faol ekspluatatsiya belgilari
WatchGuard ushbu zaiflik real hujumlarda allaqachon ekspluatatsiya qilinayotganini tasdiqladi va faol hujumlar bilan bog‘liq to‘rtta IP-manzilni indikator sifatida e’lon qildi.
Tashkilotlarga quyidagi belgilarni tekshirish tavsiya etiladi:
- firewall loglarida sertifikat zanjiri bilan bog‘liq g‘ayrioddiy xatoliklar
- 2 000 baytdan katta IKE_AUTH payload’lar
- VPN trafikda kutilmagan yoki noodatiy faollik
Bu belgilar qurilma hujum ostida bo‘lganini ko‘rsatishi mumkin.
Himoya choralar va muhim tavsiyalar
Faol ekspluatatsiya hisobga olinsa, kechikish jiddiy xavf tug‘diradi. Mutaxassislar quyidagi choralarni zudlik bilan amalga oshirishni tavsiya etadi:
- barcha WatchGuard Firebox qurilmalarini darhol yangilash
- VPN sozlamalarini to‘liq qayta ko‘rib chiqish
- firewall audit va VPN loglarini sinchiklab tahlil qilish
- ehtimoliy zararlangan qurilmalarda barcha lokal saqlangan parollar va kalitlarni almashtirish
- zarurat bo‘lsa, VPN xizmatlarini vaqtincha cheklash
CVE-2025-14733 zaifligi yana bir bor shuni ko‘rsatadiki, hatto xavfsizlik uchun mo‘ljallangan qurilmalar — firewall’lar ham hujumchilar uchun jiddiy nishonga aylanishi mumkin. 0-day zaiflik, faol ekspluatatsiya va katta miqyosdagi internetga ochiqlik bu hodisani o‘ta xavfli darajaga olib chiqmoqda.
Shu sababli, WatchGuard Firebox’dan foydalanayotgan barcha tashkilotlar uchun tezkor yangilash, doimiy monitoring va qat’iy xavfsizlik intizomi bugun har qachongidan ham muhimdir. Kechiktirilgan bitta patch butun tarmoq xavfsizligini xavf ostiga qo‘yishi mumkin.
