หน้าแรกบริการผลงานบทความเกี่ยวกับเรา
เครื่องมือ
Network ToolsShop
ขอใบเสนอราคา 096-321-7414
Knowledge Base
Knowledge BaseReferenceSecurity AdvisoriesCVE-2025-9242 WatchGuard Firebox iked Pre-Auth RCE (CVSS 9.3)
ReferenceSecurity Advisoriesintermediate

CVE-2025-9242 WatchGuard Firebox iked Pre-Auth RCE (CVSS 9.3)

ช่องโหว่ Out-of-bounds Write ใน iked process ของ Fireware OS ทำให้ผู้โจมตีรันคำสั่งบน Firebox โดยไม่ต้อง login — CISA ยืนยันมีการ exploit จริงในธรรมชาติ

A
Apinan
C9NETWORK Editor
18 พฤษภาคม 2569
10 นาที
0cvefireboxikev2rcesecurity-advisorywatchguard

1. สรุปสั้นๆ#

CVE-2025-9242 คือช่องโหว่ระดับ Critical ใน Fireware OS ของ WatchGuard Firebox ที่เปิดช่องให้ผู้โจมตีจากอินเทอร์เน็ตรันโค้ดบน Firebox ได้โดยตรง โดยไม่ต้องมี credential ใดๆ CISA เพิ่มช่องโหว่นี้เข้า Known Exploited Vulnerabilities (KEV) catalog แล้ว และพบการ exploit จริงในธรรมชาติตั้งแต่ตุลาคม 2025

รายการ รายละเอียด
CVE ID CVE-2025-9242
Advisory WGSA-2025-00015
CVSS v4.0 9.3 Critical
Component iked (IKE daemon / IKEv2 VPN handler)
CWE CWE-787: Out-of-bounds Write
Authentication required ไม่ต้องการ (Pre-Auth)
Exploit in the wild ✓ ยืนยันแล้ว (ต.ค. 2025)
CISA KEV ✓ เพิ่มแล้ว — deadline 3 ธ.ค. 2025 (หน่วยงานรัฐบาลกลางสหรัฐ)
Affected versions Fireware OS 11.10.211.12.4_Update1, 12.012.11.3, 2025.1
Fixed versions 12.11.4, 12.5.13, 12.3.1_Update3, 2025.1.1
Workaround จำกัด peer เป็น static / ปิด Mobile VPN IKEv2 ชั่วคราว
⚠️ ข้อควรระวัง

CISA ยืนยันว่า CVE-2025-9242 ถูก exploit จริงในธรรมชาติ อุปกรณ์กว่า 50,000 เครื่องบนอินเทอร์เน็ตยังคงมีช่องโหว่อยู่ ณ ช่วงที่มีรายงาน ควรแพตช์ทันทีโดยไม่รอ maintenance window ปกติ

2. รายละเอียดช่องโหว่#

กระบวนการ iked ใน Fireware OS ทำหน้าที่จัดการการ negotiate IKEv2 VPN handshake ทั้งสำหรับ Mobile User VPN (IKEv2) และ Branch Office VPN (BOVPN) ที่ใช้ dynamic gateway peer

ช่องโหว่เกิดจาก Out-of-bounds Write ใน parser ที่รับ IKEv2 message — เมื่อมีการส่ง IKE_AUTH request ที่มี IDi payload ขนาดผิดปกติ (เกิน 100 bytes) กระบวนการ iked จะเขียนข้อมูลนอกขอบเขต buffer ที่จัดสรรไว้ ซึ่งผู้โจมตีสามารถควบคุมเนื้อหาที่เขียนได้เพื่อนำไปสู่การรันโค้ดโดยพลการ

ประเด็นที่ทำให้ช่องโหว่นี้อันตรายเป็นพิเศษ:

  • Pre-Authentication — ไม่จำเป็นต้องมี username/password ใดๆ ผู้โจมตีส่ง packet ที่ถูก craft มาตรงๆ ได้เลย
  • Network-facing — port UDP 500 และ 4500 สำหรับ IKEv2 เปิดรับจากอินเทอร์เน็ตโดยธรรมชาติเมื่อเปิดใช้งาน VPN
  • RCE บน perimeter device — เมื่อยึด Firebox ได้ ผู้โจมตีจะอยู่ในตำแหน่งที่ดีที่สุดในการดักจับ traffic, เข้าถึงเครือข่ายภายใน, และขโมย credential ที่เก็บอยู่บน device

หลังการ exploit WatchGuard พบว่ากิจกรรมหลังการบุกรุกรวมถึงการ exfiltrate config file และ ขโมย credential database ออกไปยัง server ที่ผู้โจมตีควบคุม

3. Affected Products / Versions#

ช่องโหว่นี้กระทบ ทุกรุ่น Firebox (M-series, T-series, NV5, Cloud variants) ที่รัน Fireware OS เวอร์ชันดังนี้:

Fireware OS Branch Affected Range Fixed Version หมายเหตุ
2025.1 2025.1 2025.1.1 แนะนำสำหรับฮาร์ดแวร์รุ่นใหม่
12.11.x 12.012.11.3 12.11.4 สำหรับ Firebox รุ่นกลาง-ใหม่
12.5.x 12.5.x 12.5.13 เฉพาะ T15 และ T35
12.3.1 (FIPS) 12.3.1 12.3.1_Update3 สำหรับสภาพแวดล้อม FIPS
11.x 11.10.211.12.4_Update1 ไม่มีแพตช์ (EOL) ต้องอัปเกรดฮาร์ดแวร์
ℹ️ Note

เครื่องที่รัน Fireware OS 11.x ถึงขั้น End of Life แล้ว WatchGuard ไม่ออก patch ให้ หากยังใช้งานอยู่ถือว่ามีความเสี่ยงสูงมากและควรวางแผนเปลี่ยนฮาร์ดแวร์โดยเร็ว

เงื่อนไขที่ทำให้ expose:

อุปกรณ์จะมีช่องโหว่เมื่อมีการเปิดใช้งานอย่างน้อยหนึ่งข้อต่อไปนี้:

  • Mobile User VPN ที่ใช้ IKEv2 protocol
  • Branch Office VPN (BOVPN) ที่ใช้ IKEv2 กับ dynamic gateway peer
ℹ️ Note

แม้จะลบ configuration เหล่านี้ออกไปแล้ว อุปกรณ์ยังอาจเสี่ยงอยู่ หากยังมี BOVPN ไปยัง static gateway peer ที่เคย configured คู่กับ dynamic peer มาก่อน WatchGuard แนะนำให้ตรวจสอบ configuration ทั้งหมดอย่างละเอียด

4. การตรวจสอบว่า Firebox เราเสี่ยงหรือไม่#

4.1 ตรวจสอบ Fireware OS Version#

ผ่าน Web UI:

  1. ล็อกอิน Fireware Web UI (ปกติที่ https://<firebox-ip>:8080)
  2. ไปที่ System > About
  3. ดู Fireware OS Version — เทียบกับตารางในหัวข้อ 3

ผ่าน CLI (SSH):

bashbash
show version

ผลลัพธ์จะแสดง Fireware OS version เช่น:

texttext
WatchGuard Firebox T45 E4DB3A
Fireware Version: 12.10.2.B679699

หากเวอร์ชันอยู่ในช่วง affected และยังไม่ได้แพตช์ ให้ดำเนินการตาม Section 5 ทันที

4.2 ตรวจสอบว่าเปิด IKEv2 VPN หรือไม่#

ตรวจ Mobile User VPN:

  1. ไปที่ VPN > Mobile VPN
  2. หากมี IKEv2 อยู่ในรายการและสถานะ Enabled = มีช่องโหว่

ตรวจ Branch Office VPN (BOVPN):

  1. ไปที่ VPN > Branch Office VPN
  2. ดู tunnel ที่ใช้ IKEv2 — หากมี gateway ที่เป็น dynamic peer = มีช่องโหว่

4.3 ตรวจสอบ Indicators of Attack (IoA)#

WatchGuard เปิดเผย indicator ที่บ่งบอกว่าอาจมีการ exploit แล้ว:

  • มี IKE_AUTH request ที่มี IDi payload ขนาดเกิน 100 bytes ใน traffic log
  • iked process หยุดทำงานกะทันหัน ทำให้ VPN tunnel ไม่สามารถ negotiate ได้
  • พบ fault report จาก iked ใน system log

ตรวจสอบ log ผ่าน System > System Log หรือส่ง log ไปยัง WatchGuard Cloud / syslog server เพื่อวิเคราะห์

⚠️ ข้อควรระวัง

หากพบ indicator เหล่านี้ ให้ถือว่า device อาจถูก compromise แล้ว ควร rotate ทุก credential ที่เก็บบน Firebox รวมถึง VPN pre-shared key, certificate, และ local account password ทันที

5. Mitigation#

5.1 อัปเกรด Fireware OS (แนะนำสูงสุด)#

นี่คือการแก้ไขที่ถาวรและ WatchGuard แนะนำให้ดำเนินการโดยเร็วที่สุด

  1. ดาวน์โหลด Fireware OS เวอร์ชันที่แก้ไขแล้วจาก WatchGuard Software Downloads
  2. ตรวจสอบว่าเวอร์ชันที่จะติดตั้งรองรับฮาร์ดแวร์รุ่นของ Firebox คุณ
  3. backup configuration ก่อนทำการอัปเกรดเสมอ ผ่าน System > Backup Image
  4. ติดตั้งผ่าน System > Upgrade หรือผ่าน WatchGuard System Manager
texttext
เวอร์ชัน fixed ที่แนะนำ:
- Fireware 2025.1.1 หรือสูงกว่า
- Fireware 12.11.4 หรือสูงกว่า
- Fireware 12.5.13 หรือสูงกว่า (T15/T35)
- Fireware 12.3.1_Update3 หรือสูงกว่า (FIPS)
  1. หลังแพตช์ — rotate credential ทุกตัวที่เคย store บน device เพื่อความปลอดภัย

5.2 ปิด Mobile VPN IKEv2 ถ้าไม่ได้ใช้งาน#

หากองค์กรไม่ได้ใช้ Mobile VPN ด้วย IKEv2 ให้ปิดทันที:

  1. ไปที่ VPN > Mobile VPN
  2. เลือก IKEv2 configuration
  3. คลิก Disable หรือลบ configuration ทิ้ง
  4. ตรวจสอบ firewall policy ว่าไม่มีการเปิด port UDP 500 หรือ UDP 4500 จากภายนอก

5.3 จำกัด Exposure สำหรับ BOVPN#

สำหรับ Branch Office VPN ที่จำเป็นต้องคงไว้แต่ยังอัปเกรดไม่ได้:

  1. เปลี่ยน dynamic gateway peer เป็น static — ระบุ IP address ของ peer อีกฝั่งแทนการใช้ dynamic
  2. สร้าง alias ที่ประกอบด้วย IP address ของ static BOVPN peer ทั้งหมด
  3. เพิ่ม firewall policy ที่อนุญาตเฉพาะ traffic จาก alias นั้น และ ปิด built-in IKEv2 policy ที่รับ traffic จากทุกที่
Tip

การจำกัด IP ที่สามารถส่ง IKEv2 packet มาได้เป็น static allowlist ช่วยลดความเสี่ยงลงได้มาก แม้จะไม่ใช่การแก้ไขที่สมบูรณ์ เหมาะสำหรับการบรรเทาความเสี่ยงชั่วคราวขณะรอ maintenance window

6. สรุป + Action Priority#

ทำไม branch firewall เล็กๆ ถึงต้องรีบ patch? เพราะ pre-auth RCE บน perimeter device คือสถานการณ์เลวร้ายที่สุดในโลก security — ผู้โจมตีไม่ต้องรู้ password ใดๆ ส่งแค่ packet ที่ craft มาพิเศษผ่าน UDP ก็ยึด firewall ได้ทันที และเมื่อยึด Firebox ได้แล้ว ทุก traffic ที่ผ่านอุปกรณ์ไม่ว่าจะเป็น VPN, LAN-to-WAN, หรือ management session ล้วนตกอยู่ในมือผู้โจมตี

รายการ action ตามลำดับความสำคัญ:

  1. ตรวจสอบ Fireware OS version บน Firebox ทุกเครื่องภายในองค์กรวันนี้
  2. ระบุ device ที่ affected โดยเฉพาะที่เปิด Mobile VPN IKEv2 หรือ BOVPN dynamic peer
  3. Download และติดตั้ง fixed version (12.11.4, 12.5.13, 12.3.1_Update3, หรือ 2025.1.1) โดยเร็วที่สุด
  4. ปิด IKEv2 Mobile VPN ถ้าไม่ได้ใช้งาน — ลด attack surface ในระหว่างรอ maintenance
  5. ตรวจ log หา Indicators of Attack ย้อนหลังอย่างน้อย 90 วัน
  6. Rotate credential ทั้งหมด หาก device เคยอยู่ใน affected state — เผื่อมีการ exfiltrate credential ออกไปแล้ว
  7. Device ที่รัน 11.x ซึ่ง EOL แล้ว ต้องวางแผนเปลี่ยนฮาร์ดแวร์โดยเร็ว ไม่มีทางได้รับ patch อีกแล้ว
Tip

CISA กำหนด deadline สำหรับหน่วยงานรัฐบาลกลางสหรัฐที่ 3 ธันวาคม 2025 แต่สำหรับองค์กรเอกชน ไม่ควรรอถึงวันนั้น — exploit code มีอยู่ใน public แล้ว

ทีมงาน C9NETWORK พร้อมให้คำปรึกษาด้านการ patch Firebox และ audit configuration ของ branch firewall ทั่วประเทศ ไม่ว่าจะมีอุปกรณ์กี่สาขา สามารถติดต่อขอประเมินความเสี่ยงเบื้องต้นได้ฟรี

← กลับไปรายการบทความ
โดย Apinan