WatchGuard 十個月內第三度發佈 IKEv2 嚴重漏洞修補程式,舊款 Firebox 設備仍面臨風險
TL;DR
WatchGuard 十個月內第三度發佈 IKEv2 嚴重漏洞修補程式,舊款 Firebox 設備仍面臨風險
WatchGuard Technologies 剛剛發佈了另一個緊急安全修補程式,坦白說,這感覺就像一場揮之不去的噩夢。我們正面臨一個嚴重的預認證遠端程式碼執行 (RCE) 漏洞——CVE-2026-13368,該漏洞針對其 Firebox 防火牆設備。如果我們進行統計,這已經是十個月內其 IKEv2 VPN 守護程序第三次出現嚴重漏洞。對於一個理應作為網絡邊界守門人的平台來說,這實在是一個糟糕的表現。
該漏洞的 CVSS 4.0 評分為 9.2,屬於典型的釋放後使用 (use-after-free) 記憶體損壞錯誤。簡單來說,這是在啟用 IKEv2 的 Mobile User VPN 進行 LDAP 認證過程中觸發的競爭條件 (race condition)。由於此漏洞被歸類為 CWE-416,未經身份驗證的攻擊者可以趁虛而入,並可能以完整的系統權限在您的設備上執行任何程式碼。這在數位層面上,等同於您沒鎖大門且將鑰匙留在點火開關上一樣危險。
技術範圍與受影響版本
此漏洞的影響程度很大程度上取決於您的設備正在運行哪個版本的 Fireware OS。雖然 WatchGuard 已緊急修補了其現行硬體,但這些 IKEv2 漏洞出現的頻率,引發了人們對舊款設備安全狀況的擔憂。安全研究人員長期以來一直關注這一趨勢,並指出 IKEv2 的實作正成為攻擊者的熱門目標——這一點在早期的 CVE-2025-14733 中已得到印證。
如果您正在運行受支援的版本,請務必立即安裝最新的 Fireware OS 更新。如需完整的技術細節與部署說明,請參閱官方的 WatchGuard 安全公告。
| Fireware OS 版本 | 狀態 |
|---|---|
| 2026.2.1 | 已修補 |
| 12.12.1 | 已修補 |
| 12.5.x (T15/T35) | 未修補 |
| 11.x | 已終止支援 (End-of-Life) |
舊款硬體風險:「被遺忘」的設備
這正是網絡管理員最頭痛的地方:舊款硬體。具體來說是 T15 和 T35 Firebox 型號。這些設備目前仍運行在 12.5.x 分支上,但截至目前,CVE-2026-13368 並沒有修補程式。如果您機架中有這些設備且啟用了 IKEv2 VPN,您實際上正處於被攻擊的目標之上。
對於那些仍在使用 Fireware OS 11.x 的用戶來說情況更糟。這些設備已經過了其 終止支援日期 (End-of-Life),這在業界術語中意味著「您必須自求多福」。沒有更多的安全更新、沒有修補程式,也沒有技術支援。如果您正在運行此韌體,您不僅僅是維護滯後,而是處於永久暴露的狀態。
緩解措施與生命週期管理
如果您擁有現代硬體,解決方案很簡單:更新您的韌體。WatchGuard 已在其 官方資源入口網站 上準備好了更新檔案。不要等待可能永遠不會到來的維護窗口——請立即套用這些修補程式以消除 LDAP 競爭條件。
除了立即的應急處理外,您還需要審視更廣泛的基礎設施生命週期。WatchGuard 已宣佈 Firebox M290 將於 2026 年 8 月 1 日進入停止銷售 (EOS) 狀態。它將由 M295 取代,而 M290 將於 2031 年 7 月 1 日正式報廢。
以下是您當前營運的現實檢視:
- 立即行動: 如果您使用的是受支援的硬體,請立即將所有面向網際網路的設備更新至 Fireware OS 2026.2.1 或 12.12.1。
- 舊款風險: 如果您仍在使用 12.5.x 分支的 T15 或 T35 型號,最好的辦法是在修補程式發佈或更換硬體之前,完全停用 IKEv2 VPN 服務。
- 終止支援政策: 韌體版本 11.x 已經是死胡同。如果您仍在使用它,您將永久處於脆弱狀態。是時候升級了。
- 硬體採購: M290 的用戶在 2026 年 8 月 EOS 日期之後仍可續訂服務,但請注意,更換這些設備的物流(包括地區電源線要求)可能會增加採購過程的複雜性。
這些 IKEv2 漏洞的重複出現是一個嚴峻的提醒,即「設定後就不管」在網絡安全中是一種危險的哲學。定期的韌體審核不僅是最佳實踐,更是必要之舉。隨著業界轉向更具彈性的認證框架,VPN 守護程序中記憶體損壞漏洞的持續存在,對所有相關人員來說仍然是一個巨大的頭痛問題。請密切關注 WatchGuard PSIRT 入口網站——您將會需要它。