วิกฤตการณ์ Firebox! ช่องโหว่ "วิกฤต" เปิดทางให้ผู้ไม่หวังดี ยึดครอง Firewall ได้ทันที
เจ้าของและผู้ดูแลระบบเครือข่ายที่ใช้อุปกรณ์รักษาความปลอดภัย WatchGuard Firebox กำลังเผชิญกับภัยคุกคามร้ายแรงระดับ "วิกฤต" เมื่อมีการเปิดเผยช่องโหว่ความรุนแรงสูง (Critical) ที่เปิดโอกาสให้ผู้โจมตีจากระยะไกลสามารถ ดำเนินการโค้ดตามอำเภอใจ (Remote Code Execution - RCE) โดยไม่จำเป็นต้องมีการรับรองความถูกต้อง (Unauthenticated) ซึ่งหมายความว่าแฮ็กเกอร์สามารถเข้าควบคุมอุปกรณ์ป้องกันหลักขององค์กรได้ง่ายดาย
ช่องโหว่ร้ายแรงที่ประตูหน้าบ้าน
ช่องโหว่นี้ถูกระบุในกระบวนการ iked ของ Fireware OS ซึ่งมีหมายเลขติดตามคือ CVE-2025-9242 และได้รับการจัดอันดับความรุนแรงที่ระดับวิกฤต (Critical) ด้วยคะแนน CVSS 9.3 ความผิดพลาดประเภท Out-of-bounds Write นี้ทำให้ผู้โจมตีสามารถส่งแพ็กเก็ต IKEv2 ที่สร้างขึ้นเป็นพิเศษ เพื่อเขียนข้อมูลทับซ้อนในหน่วยความจำและบรรลุการเข้าควบคุมอุปกรณ์ได้
ภัยคุกคามที่ต้องตระหนัก:
1. ไม่ต้องการการรับรองความถูกต้อง: ผู้โจมตีสามารถโจมตีได้ทันทีโดยไม่ต้องมีชื่อผู้ใช้หรือรหัสผ่าน
2. เป้าหมายหลักคือ VPN: อุปกรณ์ที่มีการตั้งค่า Mobile User VPN ด้วย IKEv2 หรือ Branch Office VPN (BOVPN) ด้วย IKEv2 ที่ใช้ Dynamic Gateway Peer จะตกเป็นเป้าหมายทันที
3. แม้ลบการตั้งค่าไปแล้วก็ยังเสี่ยง: Firebox ที่เคยมีการตั้งค่า VPN เหล่านี้ และได้ถูกลบออกไปแล้ว ก็ยังคงมีความเสี่ยงอยู่ หากยังเหลือการตั้งค่า BOVPN ไปยัง Static Gateway Peer ไว้
4. พบการโจมตีที่กำลังเกิดขึ้นจริง: WatchGuard ยืนยันว่ามีหลักฐานที่บ่งชี้ว่าช่องโหว่นี้ กำลังถูกใช้ประโยชน์จริงอยู่ในวงกว้าง (Under Active Exploitation)
แนวทางแก้ไขปัญหาและป้องกันการโจมตี (Patching is Priority)
เพื่อรักษาความปลอดภัยของเครือข่ายของคุณจากภัยคุกคามที่กำลังคุกคามนี้ องค์กรต้องดำเนินการอย่างเร่งด่วนที่สุด
1. การอัปเดต (Patch) เฟิร์มแวร์เป็นแนวทางหลัก
ผู้ดูแลระบบต้องทำการอัปเกรด Fireware OS ไปยังเวอร์ชันที่มีการแก้ไขช่องโหว่นี้แล้ว โดยเร็วที่สุด:
| เวอร์ชัน Fireware OS ที่ได้รับผลกระทบ | อัปเกรดทันทีเป็นเวอร์ชัน |
|---|---|
| 2025.1 | 2025.1.1 หรือใหม่กว่า |
| 12.0 - 12.11.3 | 12.11.4 หรือใหม่กว่า |
| 12.5.x (T15 & T35) | 12.5.13 หรือใหม่กว่า |
| 12.3.1 (FIPS) | 12.3.1_Update3 หรือใหม่กว่า |
| 11.x | EOL - ควรเปลี่ยนอุปกรณ์ใหม่ทันที |
2. ตัวชี้วัดการโจมตี (IoAs) ที่ต้องตรวจสอบ
หากยังไม่สามารถอัปเดตได้ทันที ให้ตรวจสอบบันทึก (Log) เพื่อหาหลักฐานการโจมตี:
• Log ผิดปกติ: ตรวจสอบข้อความบันทึกของกระบวนการ iked ในระดับ Error logging level หากพบข้อความคำขอ IKE_AUTH ที่มีขนาดเพย์โหลด IDi ใหญ่ผิดปกติ (เกิน 100 ไบต์) ถือเป็นสัญญาณเตือนที่ชัดเจน
• IKED Process ค้าง/ขัดข้อง: หากพบว่ากระบวนการ IKED หยุดทำงาน (ค้าง) หรือเกิดข้อผิดพลาดและรีสตาร์ทบ่อยครั้ง อาจเป็นผลมาจากการโจมตีที่สำเร็จหรือล้มเหลว
3. แนวทางบรรเทาผลกระทบชั่วคราว (สำหรับผู้ที่ไม่สามารถ Patch ได้ทันที)
หากไม่สามารถอัปเกรดได้ทันที และอุปกรณ์ของคุณมีการตั้งค่า BOVPN ไปยัง Static Gateway Peer เท่านั้น ให้พิจารณาใช้คำแนะนำของ WatchGuard เพื่อกำหนดค่าความปลอดภัยเพิ่มเติมในการเข้าถึง BOVPN
คำเตือน: เนื่องจากช่องโหว่นี้ส่งผลต่ออุปกรณ์รักษาความปลอดภัยที่อยู่ขอบนอกของเครือข่าย การถูกโจมตีที่สำเร็จหมายถึงการเข้าถึงเครือข่ายภายในทั้งหมด การอัปเดตเฟิร์มแวร์จึงเป็น ภารกิจเร่งด่วนสูงสุด ในเวลานี้
To give you a better experience, by continuing to use our website, you are agreeing to the use of cookies and personal data as set out in our Privacy Policy | Terms and Conditions
