WatchGuard выпускает третье критическое обновление IKEv2 за десять месяцев, оставляя устаревшие устройства Firebox уязвимыми

CVE-2026-13368 WatchGuard Firebox vulnerability IKEv2 VPN security Fireware OS update remote code execution
E
Elena Voss

Senior Cybersecurity Analyst & Privacy Advocate

 
8 июля 2026 г.
4 мин. чтения
WatchGuard выпускает третье критическое обновление IKEv2 за десять месяцев, оставляя устаревшие устройства Firebox уязвимыми

TL;DR

• WatchGuard выпустила критическое исправление для CVE-2026-13368 (CVSS 9.2). • Уязвимость позволяет неавторизованное удаленное выполнение кода (RCE) через VPN-демон IKEv2. • Это третья крупная уязвимость IKEv2, выявленная за десять месяцев. • Устаревшие модели T15/T35 остаются без исправлений и крайне уязвимы для атак. • Администраторам следует немедленно обновить Fireware OS или отключить IKEv2.

WatchGuard выпускает третье критическое обновление IKEv2 за десять месяцев, оставляя устаревшие устройства Firebox уязвимыми

Компания WatchGuard Technologies выпустила очередное срочное обновление безопасности, и, честно говоря, это начинает напоминать бесконечный кошмар. Речь идет о критической уязвимости удаленного выполнения кода (RCE) без предварительной аутентификации — CVE-2026-13368, затрагивающей их межсетевые экраны Firebox. Если вы ведете счет, то это уже третий раз за десять месяцев, когда в их VPN-демоне IKEv2 обнаруживается серьезная брешь. Это плохой сигнал для платформы, которая должна быть стражем периметра вашей сети.

Уязвимость, получившая оценку 9.2 по шкале CVSS 4.0, представляет собой классическую ошибку повреждения памяти типа use-after-free. Проще говоря? Это состояние гонки (race condition), возникающее в процессе LDAP-аутентификации Mobile User VPN при использовании IKEv2. Поскольку эта уязвимость классифицирована по CWE-416, неавторизованный злоумышленник может воспользоваться ею и потенциально выполнить любой код на вашем устройстве с полными системными привилегиями. Это цифровой эквивалент того, как оставить входную дверь открытой, а ключи — в замке зажигания.

Технический охват и затронутые версии

Последствия этой ошибки сильно зависят от того, на какой ветке ОС Fireware работает ваше оборудование. Хотя WatchGuard поспешила выпустить исправления для актуальных устройств, сама частота появления этих уязвимостей IKEv2 вызывает неприятные вопросы о безопасности устаревшего оборудования. Исследователи безопасности уже давно отслеживают эту тенденцию, отмечая, что реализация IKEv2 становится излюбленной целью для атак — этот факт был подтвержден ранее уязвимостью CVE-2025-14733.

Если вы используете поддерживаемую версию, вам нужно было установить последнее обновление Fireware OS еще вчера. Полный технический разбор и инструкции по развертыванию можно найти в официальном бюллетене безопасности WatchGuard.

Версия Fireware OS Статус
2026.2.1 Исправлено
12.12.1 Исправлено
12.5.x (T15/T35) Не исправлено
11.x Снят с поддержки (EOL)

Уязвимость устаревшего оборудования: «Забытые» устройства

Вот где для сетевых администраторов начинаются настоящие проблемы: устаревшее оборудование. В частности, модели Firebox T15 и T35. Эти «рабочие лошадки» все еще функционируют на ветке 12.5.x, но на данный момент исправлений для CVE-2026-13368 для них нет. Если одно из таких устройств стоит в вашей стойке и VPN IKEv2 включен, вы фактически находитесь под прицелом.

Ситуация еще хуже для тех, кто все еще держится за Fireware OS 11.x. Эти устройства уже прошли свой срок окончания поддержки (EOL), что на языке индустрии означает «вы предоставлены сами себе». Больше никаких обновлений безопасности, исправлений и технической поддержки. Если вы используете эту прошивку, вы не просто отстали от обслуживания; вы находитесь в состоянии постоянной уязвимости.

Смягчение последствий и управление жизненным циклом

Если у вас современное оборудование, путь прост: обновите прошивку. WatchGuard подготовила файлы на своем официальном портале ресурсов. Не ждите окна обслуживания, которое может никогда не наступить — примените эти исправления, чтобы нейтрализовать состояние гонки в LDAP.

Помимо немедленного устранения проблем, вам необходимо обратить внимание на жизненный цикл вашей инфраструктуры в целом. WatchGuard уже объявила, что статус «конец продаж» (EOS) для Firebox M290 наступит 1 августа 2026 года. Модель постепенно заменяется на M295, а официальное прекращение поддержки M290 запланировано на 1 июля 2031 года.

Вот реальное положение дел для ваших текущих операций:

  • Немедленные действия: Если вы используете поддерживаемое оборудование, немедленно установите Fireware OS 2026.2.1 или 12.12.1 на все устройства, имеющие доступ к интернету.
  • Риски устаревшего оборудования: Если вы застряли на моделях T15 или T35 с веткой 12.5.x, лучше всего полностью отключить службы VPN IKEv2 до тех пор, пока не появится исправление или вы не сможете заменить оборудование.
  • Политика EOL: Прошивка версии 11.x — это тупик. Если вы все еще используете ее, вы постоянно уязвимы. Пришло время для обновления.
  • Закупка оборудования: Владельцы устройств M290 могут продлевать услуги после даты EOS в августе 2026 года, но не удивляйтесь, если логистика замены этих устройств — включая требования к региональным кабелям питания — создаст дополнительные трудности при закупках.

Повторяющийся характер этих уязвимостей IKEv2 — суровое напоминание о том, что философия «настроил и забыл» опасна в сетевой безопасности. Регулярный аудит прошивок — это не просто передовая практика, это необходимость. Поскольку индустрия переходит к более устойчивым структурам аутентификации, сохранение этих ошибок повреждения памяти в VPN-демонах остается огромной головной болью для всех участников. Внимательно следите за порталом WatchGuard PSIRT — он вам понадобится.

E
Elena Voss

Senior Cybersecurity Analyst & Privacy Advocate

 

Elena Voss is a former penetration tester turned cybersecurity journalist with over 12 years of experience in the information security industry. After working with Fortune 500 companies to identify vulnerabilities in their networks, she transitioned to writing full-time to make complex security concepts accessible to everyday users. Elena holds a CISSP certification and a Master's degree in Information Assurance from Carnegie Mellon University. She is passionate about helping non-technical readers understand why digital privacy matters and how they can protect themselves online.

Новости по теме

Private Internet Access Updates WireGuard and OpenVPN Protocol Implementations to Strengthen Remote Access Security
WireGuard and OpenVPN protocol security updates

Private Internet Access Updates WireGuard and OpenVPN Protocol Implementations to Strengthen Remote Access Security

Private Internet Access upgrades WireGuard and OpenVPN protocols to boost remote access security, performance, and encryption stability. Learn how it impacts you.

Автор: Viktor Sokolov 10 июля 2026 г. 4 мин. чтения
common.read_full_article
Critical CitrixBleed Vulnerability Under Active Exploitation Prompts Urgent Security Patch for NetScaler Gateways
CitrixBleed

Critical CitrixBleed Vulnerability Under Active Exploitation Prompts Urgent Security Patch for NetScaler Gateways

Critical vulnerability CVE-2023-4966 is under active exploitation. Patch your NetScaler ADC and Gateway appliances immediately to prevent session hijacking.

Автор: Marcus Chen 9 июля 2026 г. 4 мин. чтения
common.read_full_article
Dropbox Security Breach Prompts Enterprise Review of Encryption Protocols and Remote Access Alternatives for 2026
Dropbox security breach

Dropbox Security Breach Prompts Enterprise Review of Encryption Protocols and Remote Access Alternatives for 2026

Following the Dropbox security breach, enterprises are urgently reviewing encryption protocols and remote access alternatives. Learn the impact and 2026 security trends.

Автор: James Okoro 7 июля 2026 г. 4 мин. чтения
common.read_full_article
Critical CitrixBleed Vulnerability Under Active Exploitation Prompts Urgent Security Patch for NetScaler Gateways
CitrixBleed vulnerability

Critical CitrixBleed Vulnerability Under Active Exploitation Prompts Urgent Security Patch for NetScaler Gateways

Urgent security alert: Active exploitation of CitrixBleed and CVE-2026-8451 threatens NetScaler gateways. Patch immediately to prevent session hijacking.

Автор: Marcus Chen 6 июля 2026 г. 4 мин. чтения
common.read_full_article