WatchGuard修補防火牆產品Firebox多項重大資安漏洞

在12月4日，網路防火牆廠商WatchGuard發布多則安全性公告，揭露其Firebox防火牆與Fireware OS存在多項重大資安漏洞，影響系統完整性驗證流程、管理介面指令，以及VPN相關元件，對企業網路安全構成顯著風險。

首先需要留意的是開機完整性檢查繞過漏洞CVE-2025-13940，可讓攻擊者繞過Fireware OS在開機階段執行的系統完整性驗證機制。其CVSS風險評分為6.7，屬於中度風險。當系統偵測到完整性異常時，攻擊者可阻止Firebox正常關機，使已遭惡意修改的系統持續運作。受影響版本包括Fireware OS 12.8.1至12.11.4，以及2025.1至2025.1.2。

WatchGuard這次針對Firebox與Fireware OS修補中，還包含三項越界寫入（Out-of-Bounds Write）類型的高風險漏洞，可讓已驗證且具備高權限的使用者執行任意程式碼。

首先是存在於Fireware OS命令列介面（CLI）的CVE-2025-12196，以及CVE-2025-12195，兩者CVSS評分皆達8.6。另一項高風險越界寫入漏洞是CVE-2025-12026（CVSS 8.6），存在於Fireware OS憑證請求指令，在成功被利用情況下，同樣可能被高權限使用者用來執行惡意程式碼。

這波安全修補當中，還包含兩項高風險漏洞，第一個是CVE-2025-11838，CVSS評分達8.7。此一記憶體毀損漏洞影響Mobile User VPN與Branch Office VPN在使用動態閘道對等節點時的IKEv2實作，未經驗證的攻擊者即可觸發阻斷服務（DoS）。第兩項高風險漏洞CVE-2025-1545（CVSS 8.2），允許未經驗證的遠端攻擊者，透過Web CGI介面的XPath注入手法，竊取敏感的系統設定資料，進一步增加Firebox防火牆遭入侵的風險。

WatchGuard已於12月4日，針對受上述安全弱點影響的產品線，發布完整修補更新，並建議使用Fireware OS的組織，依部署情況立即升級至2025.1.3、12.11.5或12.5.14版本。WatchGuard也提醒，Fireware OS 11.x版本已正式終止支援，不再提供任何安全更新。

目前上述漏洞在WatchGuard安全公告網頁皆標示為「已修正」，且沒有替代緩解措施。WatchGuard強調，防火牆屬於關鍵基礎架構，一旦遭入侵恐導致整體系統完全失守，企業資安團隊應優先完成此次更新。