مقدمه: هشدار جدید درباره آسیبپذیری گسترده در محصولات WatchGuard
جامعه امنیت سایبری جهانی با نگرانی به افزایش روزانهی گزارشهای مربوط به آسیبپذیری بحرانی در محصولات WatchGuard واکنش نشان داده است.
طبق دادههای منتشرشده در تاریخ ۱۸ اکتبر ۲۰۲۵ توسط تیم تحقیقاتی Shadowserver، بیش از ۷۱ هزار دستگاه WatchGuard در سراسر جهان در معرض حملات اجرای کد از راه دور (Remote Code Execution – RCE) قرار گرفتهاند.
این کشف گسترده، زنگ خطری جدی برای سازمانهایی است که از فایروالها و دروازههای VPN برند WatchGuard برای امنیت شبکه و دسترسی از راه دور استفاده میکنند.
آسیبپذیری مرتبط با CVE-2025-9242 چیست؟
آسیبپذیری جدید با شناسهی CVE-2025-9242 در سیستمعامل Fireware OS مربوط به WatchGuard شناسایی شده است.
این نقص از نوع Out-of-Bounds Write در مؤلفهی IKEv2 ISAKMP میباشد.
در عمل، مهاجم میتواند با ارسال بستههای خاص شبکه، بدون نیاز به احراز هویت، کد دلخواه خود را روی دستگاه هدف اجرا کند.
این یعنی در صورت عدم وصله (Patch)، مهاجم قادر است کنترل کامل دستگاه را در اختیار بگیرد، دادهها را سرقت کند، یا از آن بهعنوان نقطهی ورود به شبکه سازمان استفاده نماید.
گستردگی جهانی آسیبپذیری
پویشهای اینترنتی انجامشده توسط Shadowserver Foundation نشان دادهاند که این آسیبپذیری در سطح بسیار وسیعی وجود دارد.
طبق آمار رسمی، بیش از ۷۱ هزار دستگاه Fireware OS در سراسر دنیا – از جمله در نهادهای دولتی، مالی، آموزشی و صنعتی – همچنان بدون وصله امنیتی و در معرض حمله هستند.
این دستگاهها عمدتاً شامل:
-
فایروالهای سازمانی WatchGuard
-
دروازههای VPN برای دسترسی از راه دور
-
تجهیزات امنیت شبکه در محیطهای توزیعشده
میباشند.
گزارشهای زنده Shadowserver
مؤسسه Shadowserver از ماه اکتبر ۲۰۲۵ شروع به انتشار دادههای روزانه از دستگاههای آسیبپذیر WatchGuard کرده است.
این دادهها از طریق اسکن فعال اینترنتی جمعآوری میشوند و شامل فهرستی از آدرسهای IP آسیبپذیر و دستگاههای در معرض خطر است.
هدف از این اقدام، هشدار به مدیران شبکه و فراهمکردن اطلاعات فوری برای وصلهکردن دستگاهها پیش از آن است که مهاجمان از این نقص بهرهبرداری کنند.
در گزارش روز ۱۸ اکتبر، بیش از ۷۱,۰۰۰ نمونهی فعال آسیبپذیر شناسایی شد — آماری که بیانگر تأخیر قابل توجه در وصلهکردن و ضعف در مدیریت آسیبپذیریهاست.
خطرات ناشی از عدم بهروزرسانی
دستگاههای WatchGuard که همچنان وصله نشدهاند، در معرض حملات جدی زیر قرار دارند:
-
🚨 اجرای کد از راه دور (RCE) و تسلط کامل مهاجم بر دستگاه
-
🔐 سرقت دادهها و اطلاعات احراز هویت VPN کاربران
-
🧩 دسترسی غیرمجاز به شبکه داخلی سازمان
-
💥 اختلال در عملکرد فایروال یا از کار افتادن سرویسها (DoS)
در برخی سناریوها، مهاجم میتواند از طریق یک دستگاه WatchGuard آلوده، مسیر حمله خود را به سایر سامانههای شبکه گسترش دهد.
توصیههای امنیتی برای مدیران شبکه
کارشناسان امنیتی به شدت توصیه میکنند که تیمهای فناوری اطلاعات و امنیت سایبری سازمانها اقدامات زیر را در اسرع وقت انجام دهند:
-
بهروزرسانی فوری Fireware OS به آخرین نسخهی منتشرشده توسط WatchGuard.
-
بررسی گزارشهای لاگ و ترافیک برای شناسایی هرگونه فعالیت مشکوک یا تلاش ناموفق ورود.
-
قطع موقت دسترسی از راه دور VPN تا زمان اطمینان از ایمنبودن دستگاهها.
-
پایش مداوم آسیبپذیریها با استفاده از ابزارهای اسکن و سامانههای SIEM.
-
اطمینان از فعال بودن مکانیزم هشدار خودکار در برابر تغییرات غیرمجاز در تنظیمات فایروال.
نقش مدیریت آسیبپذیری مداوم
این حادثه یک بار دیگر نشان میدهد که حتی برندهای معتبر امنیتی نیز از خطر آسیبپذیری مصون نیستند.
سازمانها باید از چارچوبهای مدیریت آسیبپذیری (Vulnerability Management Frameworks) استفاده کنند تا بتوانند:
-
بهصورت دورهای آسیبپذیریها را شناسایی و اولویتبندی کنند،
-
زمان وصلهکردن را به حداقل برسانند،
-
و با استفاده از اطلاعات تهدید (Threat Intelligence) از حملات آتی جلوگیری کنند.
نتیجهگیری: زمان واکنش سریع است
وجود بیش از ۷۱ هزار دستگاه WatchGuard آسیبپذیر در اینترنت، نشانهی آن است که تأخیر در وصلهکردن آسیبپذیریها، ریسک امنیتی عظیمی را ایجاد میکند.
مدیران سیستمها باید فوراً بهروزرسانیها را اعمال کرده و وضعیت امنیتی زیرساخت خود را بررسی کنند.
پایش مستمر، بهروزرسانی منظم و استفاده از منابع اطلاعاتی مانند Shadowserver، مهمترین ابزار دفاعی برای مقابله با تهدیدات مشابه در آینده خواهند بود.
دیدگاه ها بسته هستند