WatchGuard 十个月内发布第三个关键 IKEv2 补丁,老旧 Firebox 设备仍面临风险
TL;DR
WatchGuard 十个月内发布第三个关键 IKEv2 补丁,老旧 Firebox 设备仍面临风险
WatchGuard Technologies 刚刚发布了另一个紧急安全补丁,坦率地说,这感觉就像一场没完没了的噩梦。我们所面对的是一个针对其 Firebox 防火墙设备的关键预认证远程代码执行 (RCE) 漏洞——CVE-2026-13368。如果你有在关注,这已经是他们 IKEv2 VPN 守护进程在短短十个月内第三次出现严重漏洞了。对于一个本应作为网络边界守门人的平台来说,这实在不是什么光彩的事。
该漏洞的 CVSS 4.0 评分为 9.2,属于典型的“释放后使用”(use-after-free) 内存损坏错误。用通俗的话说,这是在 IKEv2 启用时,移动用户 VPN 的 LDAP 认证过程中触发的竞态条件。由于该漏洞被归类为 CWE-416,未经身份验证的攻击者可以趁虚而入,并可能以完全的系统权限在你的设备上运行任何代码。这在数字世界里,无异于把前门敞开且钥匙还插在点火开关上。
技术范围与受影响版本
此漏洞的影响程度在很大程度上取决于你的设备运行的是哪个分支的 Fireware OS。虽然 WatchGuard 已紧急修复了当前硬件,但 IKEv2 漏洞出现的频率之高,引发了人们对老旧设备安全状况的质疑。安全研究人员一直在追踪这一趋势,并指出 IKEv2 的实现正成为攻击者的首选目标——早期的 CVE-2025-14733 就证明了这一点。
如果你运行的是受支持的版本,请务必立即安装最新的 Fireware OS 更新。有关完整的技术分析和部署说明,请查看官方的 WatchGuard 安全公告。
| Fireware OS 版本 | 状态 |
|---|---|
| 2026.2.1 | 已修复 |
| 12.12.1 | 已修复 |
| 12.5.x (T15/T35) | 未修复 |
| 11.x | 已停止支持 (EOL) |
老旧硬件风险:“被遗忘”的设备
这就是网络管理员最头疼的地方:老旧硬件。特别是 T15 和 T35 Firebox 型号。这些“老黄牛”设备目前仍运行在 12.5.x 分支上,但截至目前,CVE-2026-13368 尚无补丁。如果你的机架上有这些设备且启用了 IKEv2 VPN,那么你实际上正坐在一个靶子上。
对于那些仍在使用 Fireware OS 11.x 的用户来说,情况更糟。这些设备早已过了其 生命周期结束 (EOL) 日期,这意味着“一切后果自负”。不再有安全更新,不再有补丁,也不再有技术支持。如果你还在运行此固件,你不仅是维护滞后,而是处于永久暴露的状态。
缓解措施与生命周期管理
如果你使用的是现代硬件,前进的道路很简单:更新固件。WatchGuard 已在其 官方资源门户 上提供了更新文件。不要等待可能永远不会到来的维护窗口——立即应用这些补丁以消除 LDAP 竞态条件。
除了眼前的救火工作,你还需要审视更广泛的基础设施生命周期。WatchGuard 已宣布 Firebox M290 将于 2026 年 8 月 1 日进入停止销售 (EOS) 阶段。它将被 M295 取代,而 M290 将于 2031 年 7 月 1 日正式退役。
以下是你当前运营的现实检查:
- 立即行动: 如果你使用的是受支持的硬件,请立即将所有面向互联网的设备升级至 Fireware OS 2026.2.1 或 12.12.1。
- 老旧风险: 如果你仍在使用 12.5.x 分支的 T15 或 T35 型号,最好的办法是完全禁用 IKEv2 VPN 服务,直到补丁发布或你能够更换硬件为止。
- 生命周期政策: 固件版本 11.x 是死胡同。如果你仍在使用它,你将永久处于脆弱状态。是时候升级了。
- 硬件采购: M290 的所有者在 2026 年 8 月 EOS 日期之后仍可续订服务,但请注意,更换这些设备的物流(包括区域电源线要求)可能会给你的采购流程带来一些阻碍。
IKEv2 漏洞的反复出现是一个严峻的提醒,即在网络安全中,“一劳永逸”是一种危险的哲学。定期的固件审计不仅是最佳实践,更是必要手段。随着行业向更具弹性的认证框架转型,VPN 守护进程中这些内存损坏漏洞的持续存在,对所有相关方来说仍然是一个巨大的困扰。请密切关注 WatchGuard PSIRT 门户——你以后肯定用得着。