WatchGuard 十個月內第三度發佈 IKEv2 嚴重漏洞修補程式,舊款 Firebox 設備仍面臨風險

CVE-2026-13368 WatchGuard Firebox vulnerability IKEv2 VPN security Fireware OS update remote code execution
E
Elena Voss

Senior Cybersecurity Analyst & Privacy Advocate

 
2026年7月8日
4 分鐘閱讀
WatchGuard 十個月內第三度發佈 IKEv2 嚴重漏洞修補程式,舊款 Firebox 設備仍面臨風險

TL;DR

• WatchGuard 發佈了針對 CVE-2026-13368 (CVSS 9.2) 的緊急修補程式。 • 該漏洞允許透過 IKEv2 VPN 守護程序進行未經身份驗證的遠端程式碼執行 (RCE)。 • 這是十個月內發現的第三個重大 IKEv2 漏洞。 • 舊款 T15/T35 型號目前尚未獲得修補,面臨極高的被攻擊風險。 • 管理員應立即更新 Fireware OS 或停用 IKEv2。

WatchGuard 十個月內第三度發佈 IKEv2 嚴重漏洞修補程式,舊款 Firebox 設備仍面臨風險

WatchGuard Technologies 剛剛發佈了另一個緊急安全修補程式,坦白說,這感覺就像一場揮之不去的噩夢。我們正面臨一個嚴重的預認證遠端程式碼執行 (RCE) 漏洞——CVE-2026-13368,該漏洞針對其 Firebox 防火牆設備。如果我們進行統計,這已經是十個月內其 IKEv2 VPN 守護程序第三次出現嚴重漏洞。對於一個理應作為網絡邊界守門人的平台來說,這實在是一個糟糕的表現。

該漏洞的 CVSS 4.0 評分為 9.2,屬於典型的釋放後使用 (use-after-free) 記憶體損壞錯誤。簡單來說,這是在啟用 IKEv2 的 Mobile User VPN 進行 LDAP 認證過程中觸發的競爭條件 (race condition)。由於此漏洞被歸類為 CWE-416,未經身份驗證的攻擊者可以趁虛而入,並可能以完整的系統權限在您的設備上執行任何程式碼。這在數位層面上,等同於您沒鎖大門且將鑰匙留在點火開關上一樣危險。

技術範圍與受影響版本

此漏洞的影響程度很大程度上取決於您的設備正在運行哪個版本的 Fireware OS。雖然 WatchGuard 已緊急修補了其現行硬體,但這些 IKEv2 漏洞出現的頻率,引發了人們對舊款設備安全狀況的擔憂。安全研究人員長期以來一直關注這一趨勢,並指出 IKEv2 的實作正成為攻擊者的熱門目標——這一點在早期的 CVE-2025-14733 中已得到印證。

如果您正在運行受支援的版本,請務必立即安裝最新的 Fireware OS 更新。如需完整的技術細節與部署說明,請參閱官方的 WatchGuard 安全公告

Fireware OS 版本 狀態
2026.2.1 已修補
12.12.1 已修補
12.5.x (T15/T35) 未修補
11.x 已終止支援 (End-of-Life)

舊款硬體風險:「被遺忘」的設備

這正是網絡管理員最頭痛的地方:舊款硬體。具體來說是 T15 和 T35 Firebox 型號。這些設備目前仍運行在 12.5.x 分支上,但截至目前,CVE-2026-13368 並沒有修補程式。如果您機架中有這些設備且啟用了 IKEv2 VPN,您實際上正處於被攻擊的目標之上。

對於那些仍在使用 Fireware OS 11.x 的用戶來說情況更糟。這些設備已經過了其 終止支援日期 (End-of-Life),這在業界術語中意味著「您必須自求多福」。沒有更多的安全更新、沒有修補程式,也沒有技術支援。如果您正在運行此韌體,您不僅僅是維護滯後,而是處於永久暴露的狀態。

緩解措施與生命週期管理

如果您擁有現代硬體,解決方案很簡單:更新您的韌體。WatchGuard 已在其 官方資源入口網站 上準備好了更新檔案。不要等待可能永遠不會到來的維護窗口——請立即套用這些修補程式以消除 LDAP 競爭條件。

除了立即的應急處理外,您還需要審視更廣泛的基礎設施生命週期。WatchGuard 已宣佈 Firebox M290 將於 2026 年 8 月 1 日進入停止銷售 (EOS) 狀態。它將由 M295 取代,而 M290 將於 2031 年 7 月 1 日正式報廢。

以下是您當前營運的現實檢視:

  • 立即行動: 如果您使用的是受支援的硬體,請立即將所有面向網際網路的設備更新至 Fireware OS 2026.2.1 或 12.12.1。
  • 舊款風險: 如果您仍在使用 12.5.x 分支的 T15 或 T35 型號,最好的辦法是在修補程式發佈或更換硬體之前,完全停用 IKEv2 VPN 服務。
  • 終止支援政策: 韌體版本 11.x 已經是死胡同。如果您仍在使用它,您將永久處於脆弱狀態。是時候升級了。
  • 硬體採購: M290 的用戶在 2026 年 8 月 EOS 日期之後仍可續訂服務,但請注意,更換這些設備的物流(包括地區電源線要求)可能會增加採購過程的複雜性。

這些 IKEv2 漏洞的重複出現是一個嚴峻的提醒,即「設定後就不管」在網絡安全中是一種危險的哲學。定期的韌體審核不僅是最佳實踐,更是必要之舉。隨著業界轉向更具彈性的認證框架,VPN 守護程序中記憶體損壞漏洞的持續存在,對所有相關人員來說仍然是一個巨大的頭痛問題。請密切關注 WatchGuard PSIRT 入口網站——您將會需要它。

E
Elena Voss

Senior Cybersecurity Analyst & Privacy Advocate

 

Elena Voss is a former penetration tester turned cybersecurity journalist with over 12 years of experience in the information security industry. After working with Fortune 500 companies to identify vulnerabilities in their networks, she transitioned to writing full-time to make complex security concepts accessible to everyday users. Elena holds a CISSP certification and a Master's degree in Information Assurance from Carnegie Mellon University. She is passionate about helping non-technical readers understand why digital privacy matters and how they can protect themselves online.

相關新聞

Private Internet Access Updates WireGuard and OpenVPN Protocol Implementations to Strengthen Remote Access Security
WireGuard and OpenVPN protocol security updates

Private Internet Access Updates WireGuard and OpenVPN Protocol Implementations to Strengthen Remote Access Security

Private Internet Access upgrades WireGuard and OpenVPN protocols to boost remote access security, performance, and encryption stability. Learn how it impacts you.

作者: Viktor Sokolov 2026年7月10日 4 分鐘閱讀
common.read_full_article
Critical CitrixBleed Vulnerability Under Active Exploitation Prompts Urgent Security Patch for NetScaler Gateways
CitrixBleed

Critical CitrixBleed Vulnerability Under Active Exploitation Prompts Urgent Security Patch for NetScaler Gateways

Critical vulnerability CVE-2023-4966 is under active exploitation. Patch your NetScaler ADC and Gateway appliances immediately to prevent session hijacking.

作者: Marcus Chen 2026年7月9日 4 分鐘閱讀
common.read_full_article
Dropbox Security Breach Prompts Enterprise Review of Encryption Protocols and Remote Access Alternatives for 2026
Dropbox security breach

Dropbox Security Breach Prompts Enterprise Review of Encryption Protocols and Remote Access Alternatives for 2026

Following the Dropbox security breach, enterprises are urgently reviewing encryption protocols and remote access alternatives. Learn the impact and 2026 security trends.

作者: James Okoro 2026年7月7日 4 分鐘閱讀
common.read_full_article
Critical CitrixBleed Vulnerability Under Active Exploitation Prompts Urgent Security Patch for NetScaler Gateways
CitrixBleed vulnerability

Critical CitrixBleed Vulnerability Under Active Exploitation Prompts Urgent Security Patch for NetScaler Gateways

Urgent security alert: Active exploitation of CitrixBleed and CVE-2026-8451 threatens NetScaler gateways. Patch immediately to prevent session hijacking.

作者: Marcus Chen 2026年7月6日 4 分鐘閱讀
common.read_full_article