في عالم الأمن السيبراني، تعتبر الثغرات الأمنية تهديدات خطيرة يمكن أن تؤدي إلى استغلالات واسعة النطاق. في هذا المقال، نستعرض ثغرة يوم الصفر الأخيرة في أجهزة WatchGuard Firebox.
استغلال ثغرة يوم الصفر في أجهزة WatchGuard Firebox
تم الكشف عن ثغرة يوم صفر في جدران الحماية WatchGuard Firebox، وهي تحت استغلال نشط، مما يمثل أحدث الهجمات ضد أجهزة الحافة هذا الشهر.
أعلنت WatchGuard عن الثغرة، التي تم تتبعها تحت رمز CVE-2025-14733، يوم الخميس، وأضيفت إلى قائمة الثغرات المعروفة المستغلة (KEV) التابعة لوكالة الأمن السيبراني والبنية التحتية (CISA) في اليوم التالي. تعتبر CVE-2025-14733 ثغرة حرجة في كتابة خارج الحدود في نظام Fireware OS الخاص بـ WatchGuard، والتي إذا تم استغلالها، يمكن أن تمكن تنفيذ التعليمات البرمجية عن بُعد على أجهزة Firebox.
تؤثر CVE-2025-14733 على إصدار Fireware OS 11.10.2، بما في ذلك 11.12.4_Update1، والإصدار 12.0 أو أعلى، والإصدار 2025.1 وما فوق. وفقًا لتحذير WatchGuard، تؤثر الثغرة على كل من VPN المستخدمين المتنقلين باستخدام IKEv2 وVPN المكتب الفرعي باستخدام IKEv2 عند تكوينها مع نظير بوابة ديناميكي.
قال التحذير: “إذا تم تكوين Firebox سابقًا مع VPN المستخدمين المتنقلين باستخدام IKEv2 أو VPN المكتب الفرعي باستخدام IKEv2 إلى نظير بوابة ديناميكي، وتم حذف كلا التكوينين، فقد تظل تلك Firebox معرضة للخطر إذا كانت VPN المكتب الفرعي إلى نظير بوابة ثابتة لا تزال مُعدة”.
تعتبر WatchGuard أحدث بائع لأجهزة الحافة يتم استهدافه من قبل المهاجمين هذا الشهر. الأسبوع الماضي، أضافت CISA ثغرة حرجة في Fortinet FortiGate، التي تم تتبعها تحت رمز CVE-2025-59718، إلى قائمة KEV الخاصة بها بعد اكتشاف الثغرة مباشرة. في الوقت نفسه، استهدف المهاجمون أجهزة SonicWall SMA1000 الأسبوع الماضي من خلال استغلال ثغرة تصعيد الامتياز يوم صفر.
في منشور مدونة يوم الخميس، قال مدير المنتج في WatchGuard، ماثيو تيري، إن الثغرة تم اكتشافها من خلال تحقيق داخلي وحث العملاء على تصحيح الثغرة في أسرع وقت ممكن.
كتب تيري في منشور المدونة: “يحاول المهاجمون استغلال هذه الثغرة كجزء من حملة هجوم أوسع ضد معدات الشبكات الحافة والبنية التحتية المكشوفة من عدة بائعين”. “لذا، نحثكم على ترقية أي أجهزة Firebox تمتلكونها أو تديرونها على الفور”.
تواصلت Dark Reading مع WatchGuard للحصول على مزيد من التعليقات بشأن نشاط الاستغلال وتوضيح إشارة تيري إلى “حملة هجوم أوسع”. لم تستجب WatchGuard للأسئلة ولكنها قدمت البيان التالي:
“في 15 ديسمبر، من خلال تحقيق داخلي، حددت WatchGuard ثغرة جديدة حرجة في نظام Fireware OS مفصلة في CVE-2025-14733 وتحذير أمان WatchGuard WGSA-2025-0027. تم توفير تصحيح بسرعة في 18 ديسمبر. منذ أن أصبح الإصلاح متاحًا، كان شركاؤنا والمستخدمون النهائيون يقومون بنشاط بتصحيح أجهزة Firebox المتأثرة. نحن نستمر في تشجيع التصحيح في الوقت المناسب كأفضل ممارسة أساسية في النظافة الأمنية.
“المهاجمون يستغلون هذه الثغرة بنشاط كجزء من حملة هجوم أوسع ضد معدات الشبكات الحافة والبنية التحتية المكشوفة من عدة بائعين. نحن نولي أولوية لتجربة تصحيح سريعة وسلسة لمساعدة العملاء في تأمين بيئاتهم دون انقطاع.”
أجهزة Firebox تحت النيران
قالت WatchGuard إنها “رصدت المهاجمين يحاولون بنشاط استغلال هذه الثغرة في البرية”، وشملت مؤشرات الاختراق (IoCs) في التحذير، بما في ذلك أربعة عناوين IP.
قال التحذير: “الاتصالات الصادرة إلى هذه العناوين هي مؤشر قوي على الاختراق”. “الاتصالات الواردة من هذه العناوين قد تشير إلى جهود الاستطلاع أو محاولات استغلال.”
نظرًا لأن CVE-2025-14733 تؤثر على عملية IKED (خادم تبادل المفاتيح الإنترنت)، حثت WatchGuard العملاء على مراجعة أجهزتهم بحثًا عن نشاط غير عادي مع العملية. “خلال استغلال ناجح، ستتوقف عملية IKED (المسؤولة عن التعامل مع مفاوضات IKE) مما يتسبب في انقطاع مفاوضات نفق VPN وإعادة المفاتيح”، قال التحذير. “هذا مؤشر قوي على الهجوم. قد تستمر الأنفاق الحالية في تمرير حركة المرور.”
بدلاً من التصحيح، قدمت WatchGuard حلاً مؤقتًا للعملاء الذين لديهم أجهزة Firebox مُعدة فقط مع أنفاق VPN المكتب الفرعي إلى نظير بوابة ثابتة.
في يوم الأحد، قالت مؤسسة Shadowserver إن مسحها كشف عن ما يقرب من 125,000 عنوان IP لأجهزة Firebox المعرضة للخطر في جميع أنحاء العالم، مع وجود أكثر من 35,000 منها في الولايات المتحدة.
لضمان أمان شبكتك، يجب عليك تحديث أجهزة Firebox الخاصة بك في أقرب وقت ممكن. تابعنا لمزيد من المعلومات حول الأمن السيبراني والتحديثات التقنية.
