Trusted DesignCVE-2025-14733 の詳細
CVEの情報
説明:
An Out-of-bounds Write vulnerability in WatchGuard Fireware OS may allow a remote unauthenticated attacker to execute arbitrary code. This vulnerability affects both the Mobile User VPN with IKEv2 and the Branch Office VPN using IKEv2 when configured with a dynamic gateway peer.This vulnerability affects Fireware OS 11.10.2 up to and including 11.12.4_Update1, 12.0 up to and including 12.11.5 and 2025.1 up to and including 2025.1.3.
CVE更新日: 2025-12-19 01:16:05.530000
CVSSバージョン: 4.0
CVSSスコア: 9.3
KEVの情報
KEV更新日: 2025-12-19
EPSSの情報
EPSSは脆弱性が今後30日以内に悪用される確率を予測するスコアリングシステムで、FIRST(Forum of Incident Response and Security Teams)が提供しています。
EPSSのスコアが高いということは、攻撃されるリスクが高いことを意味するので、早めの対策が必要です。
EPSSスコア: 0.363260000
EPSS更新日: 2026-01-14 00:00:00
SSVCの情報
SSVCはカーネギーメロン大学ソフトウェア工学研究所が提案する脆弱性の評価手法です。ステークホルダーごとに脆弱性対応の優先度を決定することを支援します。
本サイトでは、CVE、KEV、EPSSの内容からExploitation(悪用状況)、Technical Impact(技術的影響)、Automatable(自動攻撃の可否)を判定します。
Exploitation: active
Technical Impact: high
Automatable: True
FirewareはWatchGuard社が提供するネットワークセキュリティプラットホームです。Firmwareと誤記されることも多いので注意が必要です。FirewareはLinuxベースで開発されているOSです。 1. 脆弱性の概要 この脆弱性は、VPN接続を制御するプロセス(iked:IKEデーモン)における**境界外書き込み(Out-of-bounds Write)**の不具合です。 影響: 攻撃者は認証なしで(ユーザー名やパスワードを知らなくても)リモートから任意のコードを実行でき、システムを完全に制御される恐れがあります。 深刻度: CVSS v4スコア 9.3 (Critical) と評価されており、最高レベルの警戒が必要です。 2. 対象となる環境 以下の条件を両方満たす場合に脆弱性の影響を受けます。 【影響を受けるOSバージョン】 Fireware OS: 11.10.2 ~ 11.12.4_Update1 Fireware OS: 12.0 ~ 12.11.5 Fireware OS: 2025.1 ~ 2025.1.3 【影響を受ける設定】 以下のいずれかが有効になっている場合。 ・IKEv2を使用したモバイルユーザーVPN(Mobile User VPN) ・動的ゲートウェイピアを使用したIKEv2の拠点間VPN(Branch Office VPN) 3. 攻撃を受けた際の兆候(IOC) WatchGuardやセキュリティ機関は、以下のログや挙動に注意するよう呼びかけています。 ・ログに "Received peer certificate chain is longer than 8." というメッセージがある。 ・IKE_AUTHリクエストの証明書(CERT)ペイロードが異常に大きい(2000バイト超)。 ・VPN接続が頻繁に切断される、あるいは iked プロセスがハング(停止)している。 4. 推奨される対策 WatchGuardから修正パッチがリリースされています。ただちにアップデートを行ってください。 修正済みバージョン: 12.11.6、12.5.15、2025.1.4 以降 暫定回避策: すぐにアップデートできない場合は、一時的にIKEv2 VPNを無効化するか、信頼できるIPアドレスからのみ接続を許可する等の制限を検討してください。