WatchGuard : une faille RCE critique patchée dans les firewalls Firebox
WatchGuard a publié une nouvelle mise à jour de sécurité pour ses pare-feux Firebox dans l'objectif de corriger une faille critique. Quels sont les risques associés à la CVE-2025-9242 ? Faisons le point.
Fireware OS et la CVE-2025-9242
Cette nouvelle faille de sécurité critique, associée à la référence CVE-2025-9242 (score CVSS de 9.3 sur 10), est le résultat d'une faiblesse de type "out-of-bounds write" (écriture hors limites) au sein du processus iked de Fireware OS, le système d'exploitation des firewalls Firebox. Ce processus gère les connexions VPN utilisant le protocole IKEv2. La faille permettrait à un attaquant de corrompre la mémoire et d'exécuter du code arbitraire à distance, sans aucune authentification préalable.
WatchGuard a précisé que la vulnérabilité affecte les pare-feux Firebox configurés pour utiliser les VPN IKEv2, que ce soit pour des clients nomades ou du site-à-site.
"Si le Firebox a été précédemment configuré avec le VPN pour utilisateurs mobiles en IKEv2 ou avec un VPN site-à-site en IKEv2 vers un homologue de passerelle dynamique (ou les deux), et que ces deux configurations ont depuis été supprimées, ce Firebox peut néanmoins rester vulnérable si un VPN site-à-site vers un homologue de passerelle statique est toujours configuré.", précise le bulletin de sécurité de WatchGuard.
Comment se protéger de cette vulnérabilité ?
Cette vulnérabilité affecte directement plusieurs modèles de la gamme Firebox de WatchGuard, de l'entrée de gamme aux modèles d'entreprise. WatchGuard a publié le tableau suivant qui permet de prendre connaissance facilement des versions vulnérables et de celles ayant le correctif :
| Version vulnérable | Version patchée |
|---|---|
| 2025.1 | 2025.1.1 |
| 12.x | 12.11.4 |
| 12.5.x (modèles T15 et T35) | 12.5.13 |
| 12.3.1 (version certifiée FIPS) | 12.3.1_Update3 (B722811) |
| 11.x | Fin de vie |
Des modèles vulnérables en fonction de la branche de Fireware OS utilisée sont également spécifiés :
- Fireware OS 12.5.x : T15, T35
- Fireware OS 12.x : T20, T25, T40, T45, T55, T70, T80, T85, M270, M290, M370, M390, M470, M570, M590, M670, M690, M440, M4600, M4800, M5600, M5800, Firebox Cloud, Firebox NV5, FireboxV
- Fireware OS 2025.1.x : T115-W, T125, T125-W, T145, T145-W, T185
Il est plus que recommandé d'appliquer ce correctif dès que possible, même si WatchGuard n’a pas signalé d’exploitation active. Le positionnement des firewalls sur un réseau en font une cible de choix pour les attaquants.
ADDENDUM à l’article :
Pour les matériels qui ne sont plus sous licence ou obsolètes, mais quand même utilisés pour construire des VPNs, notamment « Branch Office », ou qui auraient été utilisés pour le faire, il existe ce contournement fourni par WatchGuard :
– https://techsearch.watchguard.com/KB?type=Article&SFDCID=kA1Vr000000DMXNKA4&lang=en_US
A effectuer impérativement bien sûr (il est préférable d’effectuer les manipulations avec le logiciel Policy Manager plutôt que l’interface web directe)
A vos claviers…