WatchGuard Firebox 高危 RCE 要即更新:用 LDAP 驗證嘅公司防火牆點查版本
Tech News

WatchGuard Firebox 高危 RCE 要即更新:用 LDAP 驗證嘅公司防火牆點查版本

圖片:via iThome — https://www.ithome.com.tw/news/177104
TechLab 編輯部(譯)·

漏洞打中 Mobile VPN with IKEv2,T15/T35 12.5.x 暫時未有修補版

先講重點:VPN + LDAP 先係高危組合

iThome 報道,WatchGuard 喺 7 月 2 日一次過公開 Firebox 17 個漏洞修補;官方 PSIRT 入面,最要優先處理係 WGSA-2026-00023 / CVE-2026-13368。呢個洞唔係普通管理介面 XSS,係 Fireware OS 喺 Mobile VPN with IKEv2 用外部 LDAP 驗證時出 race condition,再拖出 use-after-free。官方俾 CVSS v4 9.2,狀態係 Resolved;未登入嘅遠端攻擊者有機會喺 iked process 入面執行任意 code。

WatchGuard Firebox 防火牆同 WatchGuard Cloud dashboard 疊放示意圖

圖片:WatchGuard

唔好見到 RCE 就亂,先分清邊啲機中

呢個漏洞唔係每部 Firebox 都即刻中招;關鍵係有冇開 Mobile VPN with IKEv2,再配外部 LDAP / AD 做驗證。官方 CVSS vector 入面有 AC:H / AT:P,代表攻擊有額外條件,唔係掃到 IP 就一定得手。不過防火牆同 VPN 本身就係面向網上嘅入口,分數 9.2 唔係嚇人。中小企、學校、診所、零售點同 MSP 常見嘅做法係用一部硬件防火牆頂晒 VPN 同身份驗證,呢類部署要排頭位查。

版本點睇:12.5.x T15/T35 最尷尬

官方列明受影響範圍係 Fireware OS 11.0 至 11.12.4_Update1、12.0 至 12.12、12.5 至 12.5.18、2025.1 至 2026.2。修補路線就分支處理:2025.1 系列升 2026.2.1;12.x 升 12.12.1;11.x 已 end of life,要計劃淘汰或者換機。最麻煩係 T15/T35 跑 12.5.x 嘅場景,官方表格而家寫 Unresolved;如果呢啲細機仲開住 IKEv2 + LDAP,唔好等例行維護先理。

公司內部點排查

實際做法可以好直接:先喺資產清單搵 WatchGuard Firebox 型號同 Fireware OS version;跟住睇有冇 Mobile VPN with IKEv2;第三步睇驗證來源係唔係外部 LDAP / AD。三樣同時中,就係 CVE-2026-13368 最正中嘅場景。不過今次唔應該淨係補呢一個洞,WatchGuard 同日仲有多個 high impact Firebox advisories,牽涉管理 Web UI path traversal、iked null pointer、networkd / wgagent out-of-bounds write。既然要開維護窗,最好跟官方 7 月 2 日嗰批一齊處理。

冇正式 workaround,短期只係降風險

官方公告寫 Workaround Available: False,即係唔好寄望有條 firewall rule 可以抵消呢個 RCE。未能即升版本嘅話,最務實係先暫停受影響組合:關 Mobile VPN with IKEv2、改走 LDAP 驗證,或者最少限制 VPN 入口來源,視乎公司頂到幾多 downtime。不過呢啲只係風險降級,唔係官方修補;有 remote staff、分店同 POS network 經 VPN 返總部嘅公司,要同營運講清楚維護時間。

有冇已知攻擊:暫時未見,但唔代表可以拖

截至 2026 年 7 月 6 日,WatchGuard 呢份公告未提到 active exploitation;NVD 記錄仲係 Received;CISA KEV 目錄亦未見 CVE-2026-13368。不過 Firebox 呢條線唔係冷門到冇人理,CISA KEV 入面已經有幾個舊 WatchGuard Firebox / XTM 漏洞,2025 年仲有 IKEv2 類 RCE 入咗目錄。對公司 IT 嚟講,今次個重點係 VPN daemon 同身份驗證綁埋一齊,防火牆就由邊界設備變成高價值入口,修補 priority 要高過一般內部 server。

Patch 完要睇 log

如果你負責多間客嘅 Firebox,今日可以照呢個順序做:列 firmware branch 同型號,mark 低 T15/T35 + 12.5.x,檢查 IKEv2 Mobile VPN 有冇用 LDAP/AD,最後排 patch window 升 2026.2.1 或 12.12.1。修補完唔好即刻收工,記得睇 VPN fault report、IKED crash、異常 outbound 連線同 admin login 記錄;官方今次冇話已中招,但邊界設備最怕就係補完先發現之前已經俾人摸過。


參考來源

本文根據原文及公開資料整理;資料有出入時,以原文及官方資料為準。

分享:WhatsAppThreadsTelegramFacebook