أصدرت شركة WatchGuard تحديثات لسد ثغرة أمنية حرجة في نظام تشغيل Fireware، تم استغلالها بالفعل في هجمات فعلية. تأتي هذه الخطوة في إطار جهود الشركة المستمرة لتعزيز أمن الشبكات وحماية الأجهزة من التهديدات السيبرانية المتزايدة.
تم تصنيف الثغرة الأمنية، التي تحمل المعرف CVE-2025-14733، بدرجة خطورة 9.3 وفقًا للمعيار CVSS. وتتعلق الثغرة بكتابة خارج النطاق (out-of-bounds write) في عملية iked، مما قد يسمح لمهاجم بعيد غير مصادق عليه بتنفيذ تعليمات برمجية عشوائية.
تفاصيل الثغرة الأمنية في Fireware OS
تؤثر هذه الثغرة على كل من شبكات VPN للمستخدمين المتنقلين التي تستخدم بروتوكول IKEv2، وشبكات VPN بين الفروع باستخدام IKEv2 عند تكوينها مع نظير بوابة ديناميكي. وقد أكدت WatchGuard أن الأجهزة التي تم تكوينها سابقًا بهذه الإعدادات، حتى لو تم حذفها لاحقًا، قد تظل عرضة للخطر إذا كانت هناك شبكة VPN بين الفروع لنظير بوابة ثابت لا تزال قيد التكوين.
تتأثر الإصدارات التالية من نظام تشغيل Fireware بهذه الثغرة:
- 2025.1 – تم إصلاحها في الإصدار 2025.1.4.
- 12.x – تم إصلاحها في الإصدار 12.11.6.
- 12.5.x (للطرازين T15 و T35) – تم إصلاحها في الإصدار 12.5.15.
- 12.3.1 (الإصدار المعتمد من FIPS) – تم إصلاحه في التحديث 12.3.1_Update4 (B728352).
- 11.x (من 11.10.2 حتى 11.12.4_Update1) – يعتبر هذا الإصدار منتهي الصلاحية (End-of-Life).
الهجمات الفعلية ومؤشرات الاختراق
أقرت WatchGuard بأنها رصدت جهودًا نشطة من قبل جهات تهديدات لمحاولة استغلال هذه الثغرة. ومن المثير للاهتمام، أن أحد عناوين IP المستخدمة في الهجمات، وهو 199.247.7[.]82، تم ربطه سابقًا باستغلال ثغرات أخرى في منتجات Fortinet. وقد وفرت الشركة قائمة بمؤشرات الاختراق (IoCs) لمساعدة مالكي الأجهزة على تحديد ما إذا كانت أنظمتهم قد تأثرت.
تشمل مؤشرات الاختراق رسائل سجل تشير إلى تلقي سلسلة شهادات نظير أطول من 8، أو طلب IKE_AUTH بحجم حمولة شهادة غير طبيعي. وأثناء الاستغلال الناجح، قد تتوقف عملية iked مؤقتًا، مما يؤدي إلى انقطاع اتصالات VPN. بعد محاولة استغلال فاشلة أو ناجحة، قد تتعطل عملية IKED وتنتج تقرير خطأ على جهاز Firebox.
توصيات سد الثغرة
يأتي هذا الإعلان بعد فترة قصيرة من إضافة وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA) لثغرة أمنية حرجة أخرى في نظام WatchGuard Fireware OS (CVE-2025-9242) إلى قائمة الثغرات المعروفة والمستغلة. ولا تزال العلاقة بين مجموعتي الهجمات غير واضحة.
تنصح WatchGuard المستخدمين بتطبيق التحديثات المتاحة في أقرب وقت ممكن لضمان حماية أجهزتهم. وكإجراء تخفيف مؤقت للأجهزة التي بها تكوينات VPN بين الفروع، تحث الشركة المسؤولين على تعطيل شبكات VPN الديناميكية لنظير الفروع، وإنشاء اسم بديل يشمل عناوين IP الثابتة لنظراء VPN البعيدين، وإضافة سياسات جدار حماية جديدة تسمح بالوصول من هذا الاسم البديل، وتعطيل السياسات الافتراضية المضمنة التي تتعامل مع حركة مرور VPN.
يبرز هذا التحديث الأهمية المستمرة لليقظة الأمنية وتطبيق التحديثات بانتظام للحفاظ على سلامة البنية التحتية للشبكات ضد التهديدات السيبرانية المستمرة، وضمان استمرارية الأعمال وحماية البيانات الحساسة.