WatchGuard a publié une nouvelle mise à jour de sécurité pour ses pare-feux Firebox dans l’objectif de corriger une faille critique. Quels sont les risques associés à la CVE-2025-9242 ? Faisons le point.
Fireware OS et la CVE-2025-9242
Cette nouvelle faille de sécurité critique, associée à la référence CVE-2025-9242 (score CVSS de 9.3 sur 10), est le résultat d’une faiblesse de type “out-of-bounds write” (écriture hors limites) au sein du processus iked de Fireware OS, le système d’exploitation des firewalls Firebox. Ce processus gère les connexions VPN utilisant le protocole IKEv2. La faille permettrait à un attaquant de corrompre la mémoire et d’exécuter du code arbitraire à distance, sans aucune authentification préalable.
WatchGuard a précisé que la vulnérabilité affecte les pare-feux Firebox configurés pour utiliser les VPN IKEv2, que ce soit pour des clients nomades ou du site-à-site.
“Si le Firebox a été précédemment configuré avec le VPN pour utilisateurs mobiles en IKEv2 ou avec un VPN site-à-site en IKEv2 vers un homologue de passerelle dynamique (ou les deux), et que ces deux configurations ont depuis été supprimées, ce Firebox peut néanmoins rester vulnérable si un VPN site-à-site vers un homologue de passerelle statique est toujours configuré.”, précise le bulletin de sécurité de WatchGuard.
Comment se protéger de cette vulnérabilité ?
Cette vulnérabilité affecte directement plusieurs modèles de la gamme Firebox de WatchGuard, de l’entrée de gamme aux modèles d’entreprise. WatchGuard a publié le tableau suivant qui permet de prendre connaissance facilement des versions vulnérables et de celles ayant le correctif :
Version vulnérableVersion patchée2025.12025.1.112.x12.11.412.5.x (modèles T15 et T35)12.5.1312.3.1 (version certifiée FIPS)12.3.1_Update3 (B722811)11.xFin de vie
Des modèles vulnérables en fonction de la branche de Fireware OS utilisée sont également spécifiés :
Fireware OS 12.5.x : T15, T35
Fireware OS 12.x : T20, T25, T40, T45, T55, T70, T80, T85, M270, M290, M370, M390, M470, M570, M590, M670, M690, M440, M4600, M4800, M5600, M5800, Firebox Cloud, Firebox NV5, FireboxV
Fireware OS 2025.1.x : T115-W, T125, T125-W, T145, T145-W, T185
Il est plus que recommandé d’appliquer ce correctif dès que possible, même si WatchGuard n’a pas signalé d’exploitation active. Le positionnement des firewalls sur un réseau en font une cible de choix pour les attaquants.
Source
Ingénieur système et réseau, cofondateur d’IT-Connect et Microsoft MVP “Cloud and Datacenter Management”. Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.