WatchGuard выпускает третье критическое обновление IKEv2 за десять месяцев, оставляя устаревшие устройства Firebox уязвимыми
TL;DR
WatchGuard выпускает третье критическое обновление IKEv2 за десять месяцев, оставляя устаревшие устройства Firebox уязвимыми
Компания WatchGuard Technologies выпустила очередное срочное обновление безопасности, и, честно говоря, это начинает напоминать бесконечный кошмар. Речь идет о критической уязвимости удаленного выполнения кода (RCE) без предварительной аутентификации — CVE-2026-13368, затрагивающей их межсетевые экраны Firebox. Если вы ведете счет, то это уже третий раз за десять месяцев, когда в их VPN-демоне IKEv2 обнаруживается серьезная брешь. Это плохой сигнал для платформы, которая должна быть стражем периметра вашей сети.
Уязвимость, получившая оценку 9.2 по шкале CVSS 4.0, представляет собой классическую ошибку повреждения памяти типа use-after-free. Проще говоря? Это состояние гонки (race condition), возникающее в процессе LDAP-аутентификации Mobile User VPN при использовании IKEv2. Поскольку эта уязвимость классифицирована по CWE-416, неавторизованный злоумышленник может воспользоваться ею и потенциально выполнить любой код на вашем устройстве с полными системными привилегиями. Это цифровой эквивалент того, как оставить входную дверь открытой, а ключи — в замке зажигания.
Технический охват и затронутые версии
Последствия этой ошибки сильно зависят от того, на какой ветке ОС Fireware работает ваше оборудование. Хотя WatchGuard поспешила выпустить исправления для актуальных устройств, сама частота появления этих уязвимостей IKEv2 вызывает неприятные вопросы о безопасности устаревшего оборудования. Исследователи безопасности уже давно отслеживают эту тенденцию, отмечая, что реализация IKEv2 становится излюбленной целью для атак — этот факт был подтвержден ранее уязвимостью CVE-2025-14733.
Если вы используете поддерживаемую версию, вам нужно было установить последнее обновление Fireware OS еще вчера. Полный технический разбор и инструкции по развертыванию можно найти в официальном бюллетене безопасности WatchGuard.
| Версия Fireware OS | Статус |
|---|---|
| 2026.2.1 | Исправлено |
| 12.12.1 | Исправлено |
| 12.5.x (T15/T35) | Не исправлено |
| 11.x | Снят с поддержки (EOL) |
Уязвимость устаревшего оборудования: «Забытые» устройства
Вот где для сетевых администраторов начинаются настоящие проблемы: устаревшее оборудование. В частности, модели Firebox T15 и T35. Эти «рабочие лошадки» все еще функционируют на ветке 12.5.x, но на данный момент исправлений для CVE-2026-13368 для них нет. Если одно из таких устройств стоит в вашей стойке и VPN IKEv2 включен, вы фактически находитесь под прицелом.
Ситуация еще хуже для тех, кто все еще держится за Fireware OS 11.x. Эти устройства уже прошли свой срок окончания поддержки (EOL), что на языке индустрии означает «вы предоставлены сами себе». Больше никаких обновлений безопасности, исправлений и технической поддержки. Если вы используете эту прошивку, вы не просто отстали от обслуживания; вы находитесь в состоянии постоянной уязвимости.
Смягчение последствий и управление жизненным циклом
Если у вас современное оборудование, путь прост: обновите прошивку. WatchGuard подготовила файлы на своем официальном портале ресурсов. Не ждите окна обслуживания, которое может никогда не наступить — примените эти исправления, чтобы нейтрализовать состояние гонки в LDAP.
Помимо немедленного устранения проблем, вам необходимо обратить внимание на жизненный цикл вашей инфраструктуры в целом. WatchGuard уже объявила, что статус «конец продаж» (EOS) для Firebox M290 наступит 1 августа 2026 года. Модель постепенно заменяется на M295, а официальное прекращение поддержки M290 запланировано на 1 июля 2031 года.
Вот реальное положение дел для ваших текущих операций:
- Немедленные действия: Если вы используете поддерживаемое оборудование, немедленно установите Fireware OS 2026.2.1 или 12.12.1 на все устройства, имеющие доступ к интернету.
- Риски устаревшего оборудования: Если вы застряли на моделях T15 или T35 с веткой 12.5.x, лучше всего полностью отключить службы VPN IKEv2 до тех пор, пока не появится исправление или вы не сможете заменить оборудование.
- Политика EOL: Прошивка версии 11.x — это тупик. Если вы все еще используете ее, вы постоянно уязвимы. Пришло время для обновления.
- Закупка оборудования: Владельцы устройств M290 могут продлевать услуги после даты EOS в августе 2026 года, но не удивляйтесь, если логистика замены этих устройств — включая требования к региональным кабелям питания — создаст дополнительные трудности при закупках.
Повторяющийся характер этих уязвимостей IKEv2 — суровое напоминание о том, что философия «настроил и забыл» опасна в сетевой безопасности. Регулярный аудит прошивок — это не просто передовая практика, это необходимость. Поскольку индустрия переходит к более устойчивым структурам аутентификации, сохранение этих ошибок повреждения памяти в VPN-демонах остается огромной головной болью для всех участников. Внимательно следите за порталом WatchGuard PSIRT — он вам понадобится.