WatchGuard 十個月內發布第三次 IKEv2 重大修補程式,舊款 Firebox 設備仍暴露於風險中
TL;DR
WatchGuard 十個月內發布第三次 IKEv2 重大修補程式,舊款 Firebox 設備仍暴露於風險中
WatchGuard Technologies 剛剛發布了另一個緊急安全修補程式,坦白說,這感覺就像一場揮之不去的惡夢。我們正關注一個針對其 Firebox 防火牆設備的重大預認證遠端程式碼執行 (RCE) 漏洞——CVE-2026-13368。如果我們進行統計,這已經是十個月內其 IKEv2 VPN 守護程式第三次出現嚴重漏洞。對於一個本應作為網路邊界守門人的平台來說,這實在不是個好消息。
該漏洞的 CVSS 4.0 評分為 9.2,屬於典型的釋放後使用 (use-after-free) 記憶體損毀錯誤。簡單來說,這是在啟用 IKEv2 的行動使用者 VPN (Mobile User VPN) 進行 LDAP 認證過程中觸發的競爭條件 (race condition)。由於此漏洞被歸類為 CWE-416,未經身份驗證的攻擊者可以趁虛而入,並可能以完整的系統權限在您的設備上執行任何程式碼。這就像是把前門敞開且鑰匙還插在點火開關上一樣危險。
技術範圍與受影響版本
此漏洞的影響程度很大程度上取決於您的設備正在運行的 Fireware OS 版本。雖然 WatchGuard 已緊急修補了目前的硬體,但 IKEv2 漏洞出現的頻率之高,引發了人們對舊款設備安全狀況的擔憂。安全研究人員長期以來一直在追蹤這一趨勢,並指出 IKEv2 的實作正成為攻擊者的熱門目標——早期的 CVE-2025-14733 就證明了這一點。
如果您使用的是受支援的版本,請務必立即安裝最新的 Fireware OS 更新。有關完整的技術細節和部署說明,請參閱官方的 WatchGuard 安全公告。
| Fireware OS 版本 | 狀態 |
|---|---|
| 2026.2.1 | 已修補 |
| 12.12.1 | 已修補 |
| 12.5.x (T15/T35) | 未修補 |
| 11.x | 已終止支援 (End-of-Life) |
舊款硬體暴露風險:「被遺忘」的設備
這正是網路管理員最頭痛的地方:舊款硬體。特別是 T15 和 T35 Firebox 型號。這些設備目前仍運行在 12.5.x 分支上,但截至目前為止,CVE-2026-13368 並沒有修補程式。如果您的機架上有這些設備且啟用了 IKEv2 VPN,您實際上正處於攻擊目標之上。
對於那些仍堅持使用 Fireware OS 11.x 的用戶來說,情況更糟。這些設備已經過了 終止支援 (EOL) 日期,這在業界術語中意味著「您必須自求多福」。不再有安全更新、不再有修補程式,也沒有技術支援。如果您正在運行此韌體,您不僅僅是維護落後,而是處於永久暴露的狀態。
緩解措施與生命週期管理
如果您使用的是現代硬體,解決途徑很簡單:更新您的韌體。WatchGuard 已在其 官方資源入口網站 上準備好了更新檔。不要等待可能永遠不會到來的維護窗口——請立即套用這些修補程式以消除 LDAP 競爭條件。
除了立即的救火行動外,您還需要審視更廣泛的基礎設施生命週期。WatchGuard 已宣布 Firebox M290 將於 2026 年 8 月 1 日進入停止銷售 (EOS) 狀態。它將由 M295 取代,而 M290 將於 2031 年 7 月 1 日正式報廢。
以下是您目前營運的現實檢核:
- 立即行動: 如果您使用的是受支援的硬體,請立即將所有面向網際網路的設備更新至 Fireware OS 2026.2.1 或 12.12.1。
- 舊款風險: 如果您仍在使用 12.5.x 分支的 T15 或 T35 型號,最好的辦法是完全停用 IKEv2 VPN 服務,直到修復程式發布或您能汰換該硬體為止。
- 終止支援政策: 韌體版本 11.x 是一條死胡同。如果您仍在使用它,您將永久處於脆弱狀態。是時候升級了。
- 硬體採購: M290 的擁有者在 2026 年 8 月 EOS 日期之後仍可續訂服務,但請注意,更換這些設備的物流(包括區域電源線要求)可能會增加採購過程的困難。
這些 IKEv2 漏洞的反覆出現,嚴厲地提醒我們,「設定後即遺忘」在網路安全中是一種危險的哲學。定期的韌體審核不僅是最佳實踐,更是必要條件。隨著業界轉向更具彈性的認證框架,VPN 守護程式中這些記憶體損毀錯誤的持續存在,對所有相關人員來說仍然是一個巨大的頭痛問題。請密切關注 WatchGuard PSIRT 入口網站——您將會需要它。