文章总结： Shadowserver发现全球约12.5万台WatchGuardFirebox设备存在严重零日漏洞CVE-2025-14733，CVSS评分9.8。该漏洞源于IKEv2VPN密钥交换缺陷，允许未认证远程执行代码且正被积极利用。受影响设备涉及多个版本，必须立即升级至最新补丁版本，并审查日志寻找IKE_AUTH异常负载及轮换凭证以防范攻击。 综合评分： 91 文章分类： 漏洞预警,漏洞分析,网络安全,应急响应

125,000 个 IP 地址的 WatchGuard Firebox 设备暴露于互联网，易受零日远程代码执行攻击

会杀毒的单反狗

军哥网络安全读报

2025年12月23日 09:00 湖北

导读

Shadowserver 基金会发现，由于一个严重漏洞正被积极利用，全球约有 125,000 台 WatchGuard Firebox 防火墙设备面临风险。

该漏洞编号为CVE-2025-14733，它使得未经身份验证的远程攻击者能够以极小的代价在未打补丁的设备上执行任意代码。

该漏洞源于WatchGuard Fireware OS IKEv2 VPN 密钥交换过程中的越界写入缺陷。该漏洞的 CVSS 评分为 9.8，属于严重漏洞，无需用户交互即可利用。攻击者无需身份验证即可通过网络利用该漏洞。

WatchGuard 证实，攻击者正在积极尝试在实际环境中利用该漏洞，这对于尚未打补丁的组织而言，是一个0day威胁。

该漏洞会明确影响使用 IKEv2 的移动用户 VPN 配置和使用 IKEv2 和动态网关对等体的分支机构 VPN 设置。

“僵尸配置”场景非常危险：即使管理员删除了存在漏洞的VPN设置，如果分支机构到静态网关对等方的VPN隧道仍然存在，防火墙仍可能处于被入侵的状态。

该漏洞影响多个 Fireware 系统版本。

| | | | | — | — | — | | 防火墙版本 | 地位 | 所需操作 | | 2025.1 (≤ 2025.1.3) | 易受影响 | 升级到 2025.1.4 版本 | | 12.x (≤ 12.11.5) | 易受影响 | 升级到 12.11.6 版本 | | 12.5.x | 易受影响 | 升级到 12.5.15 版本 | | 12.3.1（FIPS） | 易受影响 | 更新至 12.3.1 更新 4 | | 11.x | 服务终止 | 需要完全升级 |

此次安全漏洞的规模令人震惊。Shadowserver 的扫描结果显示，全球范围内均存在易受攻击的设备，其中北美和欧洲的受影响设备最为集中。

这与之前Shadowserver发现超过75000台未打补丁的Firebox设备易受CVE-2025-9242漏洞攻击的事件类似。

WatchGuard 提供了具体的入侵指标，包括与活跃的攻击尝试直接相关的四个 IP 地址。

各组织应审查防火墙日志，查找证书链异常和超过 2000 字节的异常大的 IKE_AUTH 有效负载。

各组织必须立即优先更新所有 Firebox 设备。安全团队应监控可疑的 VPN 活动，并审查审计日志以查找攻击迹象。

轮换所有可能已被入侵的设备上本地存储的凭证。鉴于攻击正在发生，延迟轮换会显著增加安全风险。

官方安全公告：

https://www.watchguard.com/wgrd-psirt/advisory/wgsa-2025-00027

新闻链接：

125,000 IPs WatchGuard Firebox Devices Exposed to Internet Vulnerable to 0-day RCE Attacks

扫码关注

军哥网络安全读报

讲述普通人能听懂的安全故事

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：军哥网络安全读报 会杀毒的单反狗《125,000 个 IP 地址的 WatchGuard Firebox 设备暴露于互联网，易受零日远程代码执行攻击》