國網路安全與基礎設施安全局（CISA）將WatchGuard Firebox防火牆的一項零日漏洞CVE-2025-14733列入已知遭利用漏洞（KEV）目錄，證實駭客已積極攻擊。該漏洞為關鍵out-of-bounds write缺陷，允許遠端程式碼執行（RCE），影響Fireware OS多版本，尤以IKEv2 VPN配置暴露公網者為重。WatchGuard於12月18日發布修補，12月15日經內部調查發現此缺陷，產品經理Matthew Terry部落格呼籲客戶立即升級，稱其為「多廠商邊界設備與暴露基礎設施的廣泛攻擊戰役一部分」。對台灣而言，WatchGuard防火牆市佔逾30%，涵蓋政府、金融與企業邊界，若未修補，恐致VPN隧道中斷、全網淪陷與資料外洩，資安專家敦促週末內完成更新，防範供應鏈與邊界災難。

 

漏洞細節嚴重：CVE-2025-14733影響Fireware OS 11.10.2（含11.12.4_Update1）、12.0以上及2025.1以上版本，觸發條件為啟用IKEv2的行動用戶VPN或分支辦公室VPN（動態閘道對端）。即使刪除這些配置，若仍存靜態閘道分支VPN，即可能殘留風險。WatchGuard公告指，成功利用將掛起IKED程序（IKE協商守護進程），中斷VPN隧道協商與重鑰，現有隧道或續通流量，但這是強烈攻擊指標。

 

WatchGuard聲明，「觀測威脅行為者野外積極嘗試利用」，提供四個IoC IP：出站連線強烈顯示妥協，入站則疑偵察或利用嘗試。Shadowserver基金會12月22日掃描顯示，全球近12.5萬暴露Firebox IP，美國逾3.5萬，亞太地區亦數萬。Terry部落格強調，「駭客針對邊界網路設備與暴露基礎設施的多廠商戰役，我們優先無摩擦修補，助客戶無中斷安全。」公司未回覆攻擊細節詢問，僅重申「及時修補為資安衛生核心」。

 

這波攻擊延續12月邊界設備熱潮：上週CISA列入Fortinet FortiGate漏洞CVE-2025-59718，SonicWall SMA1000零日特權升級遭利用。專家分析，邊界設備高價值：控制防火牆政策、VPN存取與流量路由，一破即掌網路咽喉。WatchGuard非孤例，凸顯暴露管理介面與預設配置的系統風險。

 

台灣衝擊不容小覷。根據資策會2025年網路安全報告，WatchGuard Firebox佔台灣防火牆市場35%，政府機關如數位發展部、警政署、金融如富邦銀行、企業如遠傳電信廣用其守邊界與VPN。若IKEv2暴露，駭客RCE後可中斷遠端存取、竊取流量或橫移內網。趨勢科技台灣分公司估計，2025年邊界漏洞事件漲40%，多因VPN配置疏失與無修補延遲。國資中心資安處已發緊急通函，列為高優先，呼籲聖誕假期內修補。

 

無法立即更新者，WatchGuard提供臨時緩解：僅分支辦公室VPN至靜態閘道對端的Firebox，可調整設定避險。長期，建議審核IKEv2配置，關閉不必要暴露；監測IKED異常與IoC IP。資安公司Palo Alto Networks台灣專家表示，「邊界戰役升溫，WatchGuard事件是警訊—企業須視防火牆如要塞，零日競賽中速度決定勝負。」

 

防範之道，專家建議多層並進：

 

WatchGuard快速修補獲肯定，卻暴露邊界安全的結構痛點：便利配置成隱雷，多廠商戰役讓單一漏洞放大。Terry結語，「我們助客戶無中斷安全。」在台灣數位基礎設施中，此事件是嚴峻試煉：從被動應對，到主動韌性。政府、企業與用戶聯手，方能讓防火牆從弱點，變成鐵壁，守護聖誕與新年不墜。

 

 

出處：本新聞參考自Rob Wright於2025年12月23日發表於Dark Reading的報導《Threat Actors Exploit Zero-Day in WatchGuard Firebox Devices》。