🚨ด่วน! แจ้งเตือนกรณีช่องโหว่ในอุปกรณ์ WatchGuard Firebox (CVE-2025-14733) อย่าเปิดโอกาสให้ถูกโจมตีระบบจากระยะไกล

NCSA_THAICERT

️ ThaiCERT ได้ติดตามสถานการณ์ภัยคุกคามทางไซเบอร์อย่างใกล้ชิด และพบช่องโหว่ระดับวิกฤตในอุปกรณ์ WatchGuard Firebox หากไม่ดำเนินการแก้ไขอาจส่งผลให้ผู้ไม่หวังดีสามารถควบคุมอุปกรณ์จากระยะไกลได้

รายละเอียดช่องโหว่ที่สำคัญ
• CVE-2025-14733 มีคะแนน CVSS: 9.3 เป็นช่องโหว่ประเภท Out-of-Bounds Write ซึ่งเกิดขึ้นในกระบวนการทำงานของ iked (IKEv2 daemon) บนระบบปฏิบัติการ WatchGuard Fireware OS ที่ใช้ในอุปกรณ์ WatchGuard Firebox ช่องโหว่นี้เปิดโอกาสให้ผู้โจมตีจากภายนอกสามารถส่งข้อมูลที่ถูกออกแบบมาเป็นพิเศษไปยังบริการ IKEv2 โดยไม่ต้องผ่านการยืนยันตัวตน ส่งผลให้เกิดการเขียนข้อมูลเกินขอบเขตหน่วยความจำ และอาจนำไปสู่การเรียกใช้คำสั่งหรือโค้ดอันตรายบนอุปกรณ์ได้

ผลิตภัณฑ์และเวอร์ชันที่ได้รับผลกระทบ
• Fireware OS เวอร์ชัน 11.10.2 ถึง 11.12.4_Update1
• Fireware OS เวอร์ชัน 12.0 ถึง 12.11.5
• Fireware OS เวอร์ชัน2025.1 จนถึง 2025.1.3
️ ขอแนะนำให้หน่วยงานที่ใช้งานเวอร์ชันดังกล่าว เร่งดำเนินการตรวจสอบและแก้ไขโดยทันที

แนวทางการตรวจสอบและการป้องกัน

1. แนวทางการตรวจสอบ
   • ตรวจสอบบันทึกเหตุการณ์ (Logs) ของอุปกรณ์ WatchGuard Firebox และระบบที่เกี่ยวข้องอย่างสม่ำเสมอ โดยเฉพาะเหตุการณ์ที่มีพฤติกรรมผิดปกติหรือไม่สอดคล้องกับการใช้งานตามปกติ
   • เฝ้าระวังตัวบ่งชี้การโจมตี (Indicators of Attack) เช่น การเชื่อมต่อที่ผิดปกติ คำร้องขอที่มีรูปแบบหรือขนาดข้อมูลไม่ปกติ หรือการหยุดชะงักของบริการโดยไม่ทราบสาเหตุ
   • ตรวจสอบสถานะการทำงานของบริการและกระบวนการที่เกี่ยวข้อง หากพบอาการค้าง ล้มเหลว หรือเริ่มทำงานซ้ำโดยไม่มีสาเหตุที่ชัดเจน อาจเป็นสัญญาณของการโจมตีผ่านช่องโหว่ดังกล่าว
   • ใช้เครื่องมือด้านความมั่นคงปลอดภัยไซเบอร์ เช่น IDS/IPS, EDR หรือระบบ SIEM เพื่อช่วยในการตรวจจับ วิเคราะห์ และเชื่อมโยงเหตุการณ์ต้องสงสัย

2. แนวทางการป้องกัน
   • ดำเนินการอัปเดตแพตช์ความปลอดภัยหรือเฟิร์มแวร์ของ WatchGuard Fireware OS ให้เป็นเวอร์ชันล่าสุดตามคำแนะนำของผู้ผลิตโดยเร็วที่สุด
   • ทดสอบการอัปเดตในสภาพแวดล้อมที่เหมาะสม และวางแผนการอัปเกรดเพื่อลดผลกระทบต่อการให้บริการของระบบ

3. มาตรการชั่วคราว กรณียังไม่สามารถอัปเดตได้ทันที
   • จำกัดการเข้าถึงบริการจากเครือข่ายภายนอก และอนุญาตให้เข้าถึงเฉพาะจาก IP Addresss หรือเครือข่ายที่เชื่อถือได้
   • ปิดการใช้งานฟังก์ชันหรือบริการที่ไม่จำเป็น เพื่อลด Attack surface ของระบบ
   • กำหนดค่าการเข้าถึงระบบตามหลักการ Least Privilege และจำกัดแหล่งที่มาของการเชื่อมต่อให้เฉพาะที่มีความจำเป็น
   • เสริมมาตรการกรองทราฟฟิกและการตรวจสอบแพ็กเก็ต เพื่อป้องกันคำร้องขอที่มีลักษณะผิดปกติหรืออาจใช้ประโยชน์จากช่องโหว่
   • จัดทำและทบทวนแผนตอบสนองเหตุการณ์ด้านความมั่นคงปลอดภัยไซเบอร์ (Incident Response Plan) เพื่อให้สามารถดำเนินการได้อย่างรวดเร็ว หากตรวจพบการโจมตี

หมายเหตุ
สำหรับกรณีที่อุปกรณ์ Firebox ถูกตั้งค่าใช้งานเฉพาะ Branch Office VPN กับปลายทางแบบ Static Gateway และยังไม่สามารถอัปเกรด Fireware OS ได้ในทันที สามารถดำเนินการตามคำแนะนำของ WatchGuard ในการตั้งค่า Secure Access สำหรับ Branch Office VPN ที่ใช้ IPSec และ IKEv2 เพื่อใช้เป็นมาตรการชั่วคราวในการลดความเสี่ยงได้ตามลิงก์ https://dg.th/ultkbvgid0 ขอให้หน่วยงานที่ได้รับผลกระทบดำเนินการแก้ไขโดยเร่งด่วน เพื่อป้องกันความเสียหายที่อาจเกิดขึ้นกับระบบและเครือข่ายขององค์กร

อ้างอิง:

1. https://nvd.nist.gov/vuln/detail/CVE-2025-14733
2. https://www.watchguard.com/wgrd-psirt/advisory/wgsa-2025-00027

---

ด้วยความปรารถนาดี
สำนักงานคณะกรรมการการรักษาความมั่นคงปลอดภัยไซเบอร์แห่งชาติ (สกมช.) / ThaiCERT