WatchGuard ออกประกาศเตือนให้ลูกค้าทำการแพตช์แก้ไขช่องโหว่ระดับ Critical ประเภท Remote Code Execution (RCE) ที่กำลังถูกโจมตีอยู่ในขณะนี้ ซึ่งพบในอุปกรณ์ Firewall รุ่น Firebox
ช่องโหว่ดังกล่าวมีหมายเลข CVE-2025-14733 ส่งผลกระทบต่อ Firewall ที่ใช้งานระบบปฏิบัติการ Fireware OS เวอร์ชันต่าง ๆ ดังต่อไปนี้
- เวอร์ชัน 11.x และใหม่กว่า (รวมถึง 11.12.4_Update1)
- เวอร์ชัน 12.x หรือใหม่กว่า (รวมถึง 12.11.5)
- เวอร์ชัน 2025.1 ไปจนถึง 2025.1.3
โดย CVE-2025-14733 เป็นช่องโหว่ out-of-bounds write ซึ่งอาจทำให้ผู้โจมตีที่ไม่จำเป็นต้องผ่านการยืนยันตัวตน สามารถเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลบนอุปกรณ์ที่ยังไม่ได้รับการอัปเดตแพตช์ได้ โดยการโจมตีนี้ทำได้ง่าย และไม่ต้องอาศัยการโต้ตอบใด ๆ จากผู้ใช้งาน
แม้ว่าอุปกรณ์ Firebox ที่ยังไม่ได้อัปเดตแพตช์จะมีความเสี่ยงต่อการถูกโจมตีเฉพาะในกรณีที่มีการตั้งค่าใช้งาน IKEv2 VPN เท่านั้น แต่ทาง WatchGuard แจ้งว่าอุปกรณ์อาจยังถูกโจมตีระบบได้แม้ว่าจะลบการตั้งค่าที่มีช่องโหว่ออกไปแล้ว หากยังมีการตั้งค่า Branch Office VPN เชื่อมต่อไปยัง gateway ปลายทางแบบ Static (Static Gateway Peer) หลงเหลืออยู่
WatchGuard ได้อธิบายว่า "หาก Firebox เคยถูกตั้งค่าใช้งาน Mobile User VPN ด้วย IKEv2 หรือ Branch Office VPN โดยใช้ IKEv2 เชื่อมต่อไปยัง gateway ปลายทางแบบ Dynamic และต่อมาได้ลบการตั้งค่าทั้งสองส่วนนี้ออกไปแล้ว อุปกรณ์ Firebox นั้นอาจยังคงมีความเสี่ยงอยู่ หากยังมีการกำหนดค่า Branch Office VPN เชื่อมต่อไปยัง gateway ปลายทางแบบ Static ค้างไว้อยู่"
WatchGuard ได้แจ้งเตือนว่า "WatchGuard ตรวจพบผู้ไม่หวังดีกำลังพยายามใช้ช่องโหว่ดังกล่าวเพื่อทำการโจมตีในสถานการณ์จริงอยู่"
นอกจากนี้ ทางบริษัทยังได้แนะนำวิธีแก้ไขปัญหาชั่วคราวสำหรับองค์กรที่ไม่สามารถอัปเดตแพตช์ให้อุปกรณ์ที่มีการตั้งค่า Branch Office VPN (BOVPN) ที่มีความเสี่ยงได้ในทันที โดยกำหนดให้ผู้ดูแลระบบต้องปิดการใช้งาน BOVPN แบบ Dynamic Peer, เพิ่ม Firewall Policy ใหม่ และปิดการใช้งาน Policy ระบบ Default ที่ทำหน้าที่จัดการการรับส่งข้อมูลผ่าน VPN
| ซอฟต์แวร์/เฟิร์มแวร์ | Model ของ Firewall ที่มีช่องโหว่ |
| Fireware OS 12.5.x | T15, T35 |
| Fireware OS 2025.1.x | T115-W, T125, T125-W, T145, T145-W, T185 |
| Fireware OS 12.x | T20, T25, T40, T45, T55, T70, T80, T85, M270, M290, M370, M390, M470, M570, M590, M670, M690, M440, M4600, M4800, M5600, M5800, Firebox Cloud, Firebox NV5, FireboxV |
WatchGuard ได้แชร์ข้อมูล Indicators of Compromise (IoCs) เพื่อให้ลูกค้าใช้ตรวจสอบว่าอุปกรณ์ Firebox ของตนถูกโจมตีระบบแล้วหรือไม่ พร้อมทั้งแนะนำว่าหากพบร่องรอยของการโจมตี ให้ทำการเปลี่ยนรหัสผ่าน และข้อมูล Secrets ทั้งหมดที่ถูกเก็บไว้ในอุปกรณ์ที่มีช่องโหว่นั้นทันที
ในเดือนกันยายนที่ผ่านมา WatchGuard ได้ออกแพตช์แก้ไขช่องโหว่ Remote Code Execution อีกรายการหนึ่ง (CVE-2025-9242) ซึ่งมีลักษณะคล้ายคลึงกับช่องโหว่ในปัจจุบันอย่างมาก อีกหนึ่งเดือนต่อมา (เดือนตุลาคม) Shadowserver องค์กรเฝ้าระวังภัยอินเทอร์เน็ต ตรวจพบว่ามี Firewall รุ่น Firebox กว่า 75,000 เครื่องทั่วโลก (ส่วนใหญ่อยู่ในอเมริกาเหนือ และยุโรป) ที่ยังมีความเสี่ยงต่อการถูกโจมตีผ่านช่องโหว่ CVE-2025-9242
และสามสัปดาห์ถัดมา CISA ได้ระบุว่าช่องโหว่ดังกล่าวถูกนำไปใช้โจมตีจริงแล้ว และได้ออกคำสั่งให้หน่วยงานรัฐบาลกลางสหรัฐฯ เร่งป้องกันอุปกรณ์ Firebox ของตนจากการโจมตีที่กำลังมีการดำเนินการอยู่
นอกจากนี้ เมื่อสองปีก่อน CISA ก็เคยออกคำสั่งให้หน่วยงานรัฐบาลสหรัฐฯ ทำการแพตช์แก้ไขช่องโหว่ของ WatchGuard อีกตัวหนึ่ง (CVE-2022-23176) ที่ถูกนำไปใช้โจมตีจริง ซึ่งส่งผลกระทบต่อทั้งอุปกรณ์ Firebox และ XTM
ปัจจุบัน WatchGuard เป็นพันธมิตรกับผู้ให้บริการ และตัวแทนจำหน่ายด้านความปลอดภัยกว่า 17,000 ราย โดยทำหน้าที่ปกป้องเครือข่ายให้กับธุรกิจขนาดเล็ก และขนาดกลางกว่า 250,000 แห่งทั่วโลก
ที่มา : bleepingcomputer
You must be logged in to post a comment.