De Firebox-apparaten van WatchGuard draaien op verschillende versies van het Fireware-besturingssysteem. De kwetsbaarheid is aanwezig in OS 11.10.2 tot en met 11.12.4_Update1, 12.0 tot en met 12.11.3, en de release 2025.1. De kwetsbaarheid bevindt zich in het proces “iked”, dat Internet Key Exchange (IKE)-handshakes afhandelt waarmee VPN-tunnels worden opgezet. Een ontbrekende lengtegrenscontrole op een identificatiebuffer maakt het mogelijk dat kwaadaardige invoer de buffer overschrijdt voordat certificaatvalidatie plaatsvindt, waardoor een pad ontstaat dat kan worden misbruikt vóórdat authenticatie slaagt.
WatchTowr Labs meldde het probleem voor het eerst in oktober. De cybersecuritygroep beschreef de ontbrekende buffercontrole en het potentieel om externe code-uitvoering mogelijk te maken. “De server probeert wel certificaatvalidatie uit te voeren, maar die validatie vindt plaats nadat de kwetsbare code is uitgevoerd,” verklaarde onderzoeker McCaulay Hudson.
Verspreiding
Hoewel er momenteel geen details bekend zijn over hoe aanvallers de fout uitbuiten of over de omvang van eventuele lopende campagnes, waren er gisteren (12 november) nog iets meer dan 54.300 Firebox-instanties kwetsbaar. Ongeveer 18.500 van de kwetsbare apparaten bevinden zich in de Verenigde Staten, gevolgd door Italië (5.400), het Verenigd Koninkrijk (4.000), Duitsland (3.600) en Canada (3.000) als landen met de hoogste aantallen. In Nederland zijn er op het moment van schrijven ruim 600 kwetsbare apparaten. De gegevens zijn beschikbaar in een openbaar dashboard dat unieke IP’s per geografische regio bijhoudt.
De toevoeging van CVE-2025-9242 in de Known Exploited Vulnerabilities (KEV)-catalogus betekent dat beveiligingsteams en incidentresponsgroepen de kwetsbaarheid moeten behandelen als actief uitgebuit. De KEV-catalogus is bedoeld om organisaties te helpen bij het prioriteren van patches voor bedreigingen waarvan bekend is dat ze in het wild worden misbruikt.
Patchen
WatchGuard heeft patches uitgebracht voor alle getroffen OS-versies. Gebruikers worden aangemoedigd om de update-documentatie van de leverancier te raadplegen en te verifiëren dat hun apparaten gepatcht zijn. Voor organisaties die Firebox-apparaten gebruiken, zijn de belangrijkste stappen: vaststellen of een apparaat een getroffen Fireware-versie draait, de nieuwste patch toepassen en het netwerkverkeer monitoren op ongebruikelijke IKE-patronen die kunnen wijzen op exploitatiepogingen. Regelmatige kwetsbaarheidsscans, zoals NetCaptain, en het gebruik van intrusion detection-systemen kunnen helpen om afwijkend gedrag vroegtijdig te detecteren.
