Même après la suppression, les configurations précédentes pourraient toujours rendre les pare-feu vulnérables, prévient la société.
WatchGuard a corrigé une succursale dangereuse et une vulnérabilité de configuration VPN mobile affectant près de trois douzaines de modèles de ses systèmes de pare-feu de Firebox actuels et hérités.
Cependant, la mise à jour est livrée avec une mise en garde importante: certains clients pourraient toujours être en danger, même s’ils n’utilisent plus de configurations VPN vulnérables.
Normalement, l’histoire avec un défaut est le tripes de la vulnérabilité elle-même, ce que les attaquants pourraient réaliser s’ils l’exploitaient et s’il est exploité avant un patch.
Avec CVE-2025-9242, c’est légèrement plus compliqué. La bonne nouvelle est qu’il n’y a aucune preuve d’exploitation, bien que le conseil soit de patcher dès que possible. Le travail pour les administrateurs, cependant, est de déterminer si un système est affecté ou non, ce qui pourrait s’avérer plus difficile qu’il n’y paraît dans certains cas. D’autres environnements pourraient devoir considérer les solutions de contournement.
La vulnérabilité
L’avis produit a décrit le problème comme une «vulnérabilité d’écriture hors limites». Cela rend possible un exploit de code distant (RCE) à travers lequel les attaquants pourraient contourner à distance l’authentification dans le cadre d’un compromis.
Le terme «Iked» est une référence à Internet Key Exchange v2 (IKEV2). Les attaquants exploitant la faille cibleraient le démon ike vulnérable en utilisant une attaque fabriquée via les ports VPN UDP 500 ou UDP 4500. CVE-2025-9242 a un score CVSS de 9,3, ou «critique», ce qui rend le correctif urgent.
Qui est affecté?
Une liste des près de trois douzaines de modèles de pare-feu touchées par CVE-2025-9242 est disponible sur le site Web de WatchGuard. Les versions vulnérables du Fireware OS sont 2025.1, 12.x, 12.5.x (modèles T15 et T35), 12.3.1 (version certifiée FIPS) et 11.x (fin de vie). Ceux-ci sont traités (dans le même ordre) en mettant à jour vers les versions 2025.1.1, 12.11.4, 12.5.13 et 12.3.1_update3 (B722811).
Bien que tous les clients doivent mettre à jour, les personnes spécifiquement affectées sont dans le camp suivant: «Cette vulnérabilité affecte à la fois le VPN d’utilisateur mobile avec IKEV2 et le VPN de la succursale à l’aide d’IKEV2 lorsqu’il est configuré avec un pair de passerelle dynamique», a déclaré le conseil.
Cependant, l’entreprise a averti que les clients qui avaient utilisé leurs VPN de pare-feu de cette manière dans le passé, mais ne pourraient plus être affectés:
« Si la Firebox a été précédemment configurée avec le VPN d’utilisateur mobile avec IKEV2 ou un VPN de succursale utilisant IKEV2 à un homologue de passerelle dynamique, et ces deux configurations ont depuis été supprimées, que Firebox peut toujours être vulnérable si le conseil de la succursale à un pair de passerelle statique est toujours configuré », le conseiller noté.
Cela semble alambiqué, mais comment une telle ride est-elle possible? Pour spéculer, il se pourrait que le système d’exploitation Fireware enregistre des configurations IKE de manière persistante, même après les redémarrages. Ces données peuvent ensuite influencer encore de nouvelles configurations.
Pour les clients qui ont configuré leurs VPN de succursale en tant que pairs de passerelle mais qui ne peuvent pas mettre à jour immédiatement pour des raisons opérationnelles, WatchGuard a fourni des étapes d’atténuation, décrites dans l’article de la base de connaissances, accès sécurisé aux VPN de succursale qui utilisent IPSec et IKEV2.
Cibles de ransomware
Les clients doivent prendre cette mise à jour au sérieux. Les pare-feu et les VPN en particulier sont désormais constamment ciblés par les acteurs de la menace, ce qui rend encore plus critique de maintenir leur sécurité à jour. Seulement cette semaine, Sonicwall a mis en garde contre les attaques essayant de forcer brute le système de sauvegarde cloud utilisé par certains de ses clients de pare-feu. Et la semaine dernière, le centre de cybersécurité australien a déclaré qu’il avait connu une augmentation des tentatives d’exploitation du gang Akira Ransomware, ciblant une vieille vulnérabilité sur les pare-feu de la même entreprise lors de l’utilisation de VPN SSL.
Plus tôt en 2025, les clients du pare-feu de Next Generation de Fortinet ont été avertis de vérifier les systèmes de compromis à la suite d’un dépotoir de configuration volée et de références VPN par un acteur de menace.
