網路安全廠商WatchGuard的Firebox防火牆曝露一項零日漏洞CVE-2025-14733，已遭駭客野外積極利用，美國網路安全與基礎設施安全局（CISA）於12月20日將其列入已知遭利用漏洞（KEV）目錄。該漏洞為關鍵out-of-bounds write缺陷，允許遠端程式碼執行（RCE），影響Fireware OS多版本，尤以IKEv2 VPN配置者為重。WatchGuard於12月18日發布修補，產品經理Matthew Terry部落格指，此為「多廠商邊界網路設備與暴露基礎設施的廣泛攻擊戰役一部分」，呼籲客戶立即升級。對台灣而言，WatchGuard防火牆市佔逾30%，涵蓋政府、金融與企業邊界，全球掃描顯示近12.5萬暴露裝置，若未修補，恐致VPN中斷、全網淪陷與資料外洩，資安專家敦促聖誕假期後立即行動，防範邊界設備連環危機。

 

漏洞於12月15日經WatchGuard內部調查發現，12月18日即發布修補，展現快速反應。CVE-2025-14733影響Fireware OS 11.10.2（含11.12.4_Update1）、12.0以上及2025.1以上版本，觸發條件為啟用IKEv2的行動用戶VPN或分支辦公室VPN（動態閘道對端）。公告特別警告，即使刪除這些配置，若仍存靜態閘道分支VPN，即可能殘留風險。成功利用將掛起IKED程序（IKE協商守護進程），中斷VPN隧道協商與重鑰，現有隧道或續通流量，但這是強烈攻擊指標。

 

WatchGuard聲明，「觀測威脅行為者野外積極嘗試利用」，提供四個IoC IP：出站連線強烈顯示妥協，入站則疑偵察或利用嘗試。Shadowserver基金會12月22日掃描顯示，全球近12.5萬暴露Firebox IP，美國逾3.5萬，亞太地區數萬，凸顯暴露管理介面的普遍風險。Terry部落格強調，「我們優先無摩擦修補，助客戶無中斷安全。」公司未回覆攻擊細節詢問，僅重申「及時修補為資安衛生核心」。

 

這波攻擊延續12月邊界設備熱潮：上週CISA列入Fortinet FortiGate漏洞CVE-2025-59718，SonicWall SMA1000零日特權升級遭利用。專家分析，邊界設備高價值：控制防火牆政策、VPN存取與流量路由，一破即掌網路咽喉。WatchGuard非孤例，凸顯暴露介面與預設配置的系統風險。資安公司Palo Alto Networks台灣專家表示，「邊界戰役升溫，WatchGuard事件證明多廠商協調攻擊已成趨勢—企業暴露IKEv2配置，即成目標。」

 

台灣衝擊嚴峻。根據資策會2025年網路安全報告，WatchGuard Firebox佔台灣防火牆市場32%，政府機關如數位發展部、警政署、金融如中國信託、企業如台灣大哥大廣用其守邊界與VPN。若IKEv2暴露公網，駭客RCE後可中斷遠端辦公、竊取流量或橫移內網。趨勢科技台灣分公司估計，2025年邊界漏洞事件漲35%，多因VPN配置疏失與修補延遲。國資中心資安處已發緊急通函，列為高優先，呼籲元旦前修補，避免假期中招。

 

無法立即更新者，WatchGuard提供臨時緩解：僅分支辦公室VPN至靜態閘道對端的Firebox，可調整設定避險。長期，建議審核IKEv2配置，關閉不必要暴露；監測IKED異常與IoC IP。資安公司CrowdStrike台灣專家補充，「單一邊界妥協可引連鎖：竊拓撲、建後門、斷服務。」

 

防範之道，專家建議多層並進：

WatchGuard快速修補獲肯定，卻暴露邊界安全的結構痛點：便利配置成隱雷，多廠商戰役讓單一漏洞放大。Terry結語，「我們助客戶無中斷安全。」在台灣數位基礎設施中，此事件是嚴峻試煉：從被動應對，到主動韌性。政府、企業與用戶聯手，方能讓防火牆從弱點，變成鐵壁，守護新年邊界不墜。

 

 

出處：本新聞參考自Rob Wright於2025年12月23日發表於Dark Reading的報導《Threat Actors Exploit Zero-Day in WatchGuard Firebox Devices》。