WatchGuardが10か月で3度目のIKEv2重大パッチをリリース、レガシーFireboxデバイスは依然として脆弱
TL;DR
WatchGuardが10か月で3度目のIKEv2重大パッチをリリース、レガシーFireboxデバイスは依然として脆弱
WatchGuard Technologiesがまたしても緊急セキュリティパッチをリリースしました。正直なところ、悪夢が繰り返されているように感じます。今回対象となったのは、同社のFireboxファイアウォールアプライアンスを標的とした、認証前の重大なリモートコード実行(RCE)の脆弱性「CVE-2026-13368」です。記録を振り返ると、同社のIKEv2 VPNデーモンで深刻な欠陥が見つかったのは、わずか10か月でこれで3度目となります。ネットワーク境界の門番であるはずのプラットフォームとしては、非常に見栄えの悪い状況です。
CVSS 4.0スコアで9.2を記録したこの脆弱性は、典型的なUse-After-Free(解放後メモリ使用)のメモリ破損エラーです。平たく言えば、IKEv2が有効なモバイルユーザーVPNのLDAP認証プロセス中に発生する競合状態(レースコンディション)です。これはCWE-416に分類されるため、認証されていない攻撃者が侵入し、システム権限で任意のコードを実行できる可能性があります。これは、玄関の鍵を開けっ放しにし、エンジンをかけたまま車を放置するようなものです。
技術的範囲と影響を受けるバージョン
この欠陥による影響は、使用しているFireware OSのバージョンに大きく依存します。WatchGuardは現行ハードウェアの修正に追われていますが、これほど頻繁にIKEv2の脆弱性が発生することは、古いレガシー機器のセキュリティ体制について懸念を抱かせます。セキュリティ研究者は以前からこの傾向を追跡しており、IKEv2の実装が攻撃の標的として好まれていることを指摘しています。これは、以前のCVE-2025-14733によっても裏付けられています。
サポートされているバージョンを使用している場合は、直ちに最新のFireware OSアップデートを適用する必要があります。技術的な詳細と展開手順については、公式のWatchGuardセキュリティアドバイザリを確認してください。
| Fireware OS バージョン | ステータス |
|---|---|
| 2026.2.1 | パッチ適用済み |
| 12.12.1 | パッチ適用済み |
| 12.5.x (T15/T35) | パッチ未適用 |
| 11.x | サポート終了 (EOL) |
レガシーハードウェアの露出:「忘れ去られた」デバイス
ネットワーク管理者にとって頭の痛い問題は、レガシーハードウェア、特にT15およびT35 Fireboxモデルです。これらの主力機は現在も12.5.xブランチで稼働していますが、現時点ではCVE-2026-13368に対するパッチは提供されていません。ラック内にこれらの機器があり、IKEv2 VPNが有効になっている場合、実質的に攻撃の標的となっている状態です。
Fireware OS 11.xに固執しているユーザーにとってはさらに状況が悪化しています。これらのデバイスはすでにサポート終了(EOL)日を過ぎており、セキュリティアップデートやパッチ、サポートは一切提供されません。このファームウェアを使用している場合、メンテナンスが遅れているだけでなく、常に脆弱な状態で運用していることになります。
緩和策とライフサイクル管理
最新のハードウェアを使用している場合、進むべき道はシンプルです。ファームウェアをアップデートしてください。WatchGuardの公式リソースポータルからファイルをダウンロードできます。メンテナンスウィンドウを待つのではなく、直ちにパッチを適用してLDAPの競合状態を解消してください。
目先の対応だけでなく、インフラストラクチャのライフサイクル全体を見直す必要があります。WatchGuardは、Firebox M290が2026年8月1日に販売終了(EOS)となることを発表しています。M295への移行が進められており、M290は2031年7月1日に完全にサポート終了となります。
現在の運用における現実的なチェックリストは以下の通りです:
- 直ちに行うべき対応: サポート対象のハードウェアを使用している場合は、インターネットに接続されているすべてのアプライアンスにFireware OS 2026.2.1または12.12.1を直ちに適用してください。
- レガシーのリスク: 12.5.xブランチのT15またはT35モデルを使用している場合、修正が提供されるかハードウェアをリプレースするまで、IKEv2 VPNサービスを完全に無効にすることが最善の策です。
- サポート終了ポリシー: ファームウェアバージョン11.xは行き止まりです。まだ使用している場合は恒久的に脆弱な状態です。アップグレードの時期です。
- ハードウェア調達: M290の所有者は2026年8月のEOS以降もサービスを更新できますが、これらのユニットの交換(地域の電源コード要件を含む)には調達プロセスで摩擦が生じる可能性があることに注意してください。
IKEv2の欠陥が繰り返されることは、「設定して放置」がネットワークセキュリティにおいていかに危険な哲学であるかを如実に物語っています。定期的なファームウェア監査はベストプラクティスではなく、必須事項です。業界がより回復力のある認証フレームワークへと移行する中で、VPNデーモンにおけるメモリ破損バグの持続は、関係者全員にとって大きな悩みの種であり続けます。WatchGuard PSIRTポータルを常に注視してください。今後も確認が必要になるはずです。