2025年9月17日(米国時間)、WatchGuard社より 重大なセキュリティ脆弱性(CVE-2025-9242) に関するセキュリティアドバイザリが公開されました。
今回の問題は IKEv2 VPN 機能に影響を及ぼし、認証を受けていない攻撃者がリモートから任意コードを実行できる可能性 があるものです。CVSSスコアは「9.3(Critical)」とされ、迅速な対応が必要です。
脆弱性の概要
- 対象モデル
T20/T25/T40/T45/T55/T70/T80/T85/M270/M290/M370/M390/M470/M570/M590/M670/M690/M4600/M4800/M5600/M5800 - 修正版ファームウェア
Fireware v12.11.4 (build722644) - 影響範囲
IKEv2を利用したモバイルVPN・拠点間VPNにて、境界外書き込み(Out-of-Bounds Write)が発生する可能性
DataDefenseの対応
当社のバックアップお預かりサービス、UTMサブスクをご利用いただいているお客様については、当社が責任をもって順次リモート対応を実施いたします。お客様側での操作は不要です。
現時点では実際の攻撃被害は確認されていませんが、セキュリティリスクを最小化するため、速やかにファームウェア更新を進めます。
アップデートが難しい場合の回避策
やむを得ず即時アップデートができない場合には、WatchGuard社が提示する一時的なワークアラウンドを適用してください。
