أضافت وكالة الأمن السيبراني والبنية التحتية الأمريكية (CISA) ثغرة أمنية حرجة تؤثر على WatchGuard Fireware إلى كتالوج الثغرات الأمنية المعروفة والمستغلة، بناءً على أدلة على استغلالها النشط. هذه الخطوة تسلط الضوء على المخاطر المتزايدة التي تهدد أمن الشبكات.
الثغرة المحددة، المعروفة بالرمز CVE-2025-9242، تحمل درجة خطورة 9.3 وفقًا لمقياس CVSS، وتتعلق الثغرة بكتابة خارج الحدود وتؤثر على إصدارات Fireware OS المختلفة. قامت WatchGuard بإصدار تصحيحات لهذه الثغرة في شهر سبتمبر الماضي.
ثغرة WatchGuard Fireware الحرجة
وصف CISA الثغرة بأنها “كتابة خارج الحدود في عملية iked بنظام التشغيل، والتي قد تسمح لمهاجم عن بعد غير مصرح له بتنفيذ تعليمات برمجية عشوائية”. هذا يعني أن المهاجمين يمكنهم الاستفادة منها للتحكم في الأنظمة المخترقة.
قدمت شركة WatchTower Labs تفاصيل إضافية حول الثغرة، مشيرة إلى أنها تنبع من عدم وجود فحص للطول في مخزن التعريفات المستخدم أثناء عملية تبادل مفاتيح بروتوكول IKE (Internet Key Exchange). هذه العملية حيوية لتأمين الاتصالات.
آلية الاستغلال والآثار
أوضح الباحث الأمني ماكولي هدسون أن آلية التحقق من الشهادات تحدث بعد تشغيل الكود الضعيف، مما يجعل مسار الكود المعرض للخطر قابلاً للوصول حتى قبل المصادقة. هذا يفتح الباب أمام المهاجمين.
أفادت WatchGuard في تحديث لتنبيهها بوجود أدلة تشير إلى الاستغلال النشط لهذه الثغرة. شاركت الشركة ثلاثة مؤشرات تدل على الاختراق مرتبطة بهذه الأنشطة، مما يساعد في اكتشاف الهجمات.
مؤشرات الاختراق وكشف الثغرات
تشمل المؤشرات رسالة سجل طلب IKE_AUTH تحتوي على حمولة IKE_AUTH IDi غير طبيعية، وتعطل عملية iked مما يؤدي إلى انقطاع اتصالات VPN، وانهيار العملية وإنشاء تقرير خطأ بعد محاولة استغلال ناجحة أو فاشلة. هذه العلامات تمثل أدوات هامة لفرق الأمن.
تعمل المؤسسات على معالجة هذه الثغرات وتقليل عدد الأجهزة المكشوفة. ومع ذلك، لا يزال هناك عدد كبير من أجهزة Firebox المعرضة لهذه الثغرة الحرجة.
تقرير عن الأجهزة المكشوفة
وفقًا لبيانات من مؤسسة Shadowserver، لا يزال هناك أكثر من 54,300 جهاز Firebox معرضين للخطر. هذا العدد انخفض من ذروته التي بلغت 75,955 جهازًا في وقت سابق. يشير هذا الانخفاض إلى جهود الاستجابة، لكنه لا يزال يمثل تحديًا.
تتركز الأجهزة المكشوفة في الولايات المتحدة، حيث يوجد حوالي 18,500 جهاز. وتأتي دول مثل إيطاليا والمملكة المتحدة وألمانيا وكندا في المراتب التالية من حيث عدد الأجهزة المعرضة للخطر. تنصح الوكالات الفيدرالية بتطبيق التصحيحات.
يأتي هذا التطور تزامنًا مع إضافة CISA لثغرات أخرى إلى كتالوجها، بما في ذلك ثغرة في نواة ويندوز وثغرة في Gladinet Triofox. أشارت Google Mandiant إلى أن عامل تهديد يطلق عليه UNC6485 مسئول عن استغلال ثغرة Gladinet Triofox.