Cybersecurity and Infrastructure Security Agency (CISA), aktif sömürü kanıtlarına dayanarak WatchGuard Fireware işletim sisteminde kritik bir güvenlik açığını Bilinen Sömürülmüş Güvenlik Açıkları (KEV) kataloğuna ekledi. CVE-2025-9242 kodlu bu zafiyet, Fireware OS sürümleri 11.10.2’den 11.12.4_Update1’e, 12.0’dan 12.11.3’e ve 2025.1 sürümüne kadar olan versiyonları etkileyen bir sınır dışı yazma (out-of-bounds write) açığıdır ve CVSS skoru 9.3 olarak raporlanmıştır.
Açığın Teknik Detayları ve Etkileri
WatchGuard Firebox cihazlarının OS iked sürecinde bulunan bu sınır dışı yazma açığı, uzaktan kimlik doğrulaması gerektirmeden saldırganların rastgele kod çalıştırmasına olanak tanıyor. Bu durum, özellikle ağ güvenliği için kritik öneme sahip MCP istemcisi ve Pydantic AI gibi otomatik analiz araçlarıyla entegre çalışan sistemlerde ciddi riskler doğurabilir. Ayrıca, Fireware OS’nin IKE (Internet Key Exchange) el sıkışma sürecinde kullanılan tanımlama tamponundaki eksik uzunluk kontrolü, saldırganların bellek taşmalarını tetikleyerek hedef sistemde yetkisiz erişim sağlamasına imkan tanıyor.
Güvenlik araştırmacısı McCaulay Hudson’un belirttiği üzere, sunucu sertifika doğrulaması, savunmasız kod çalıştırıldıktan sonra gerçekleştiği için, saldırganlar kimlik doğrulama öncesinde zararlı kodu çalıştırabiliyor. Bu durum, AsyncRAT gibi gelişmiş uzaktan erişim araçlarının benzer tekniklerle sistemlere sızmasına benzer bir saldırı vektörü oluşturuyor.
Global Etki ve Yayılım
Shadowserver Foundation verilerine göre, 12 Kasım 2025 itibarıyla dünya genelinde 54.300’den fazla Firebox cihazı bu kritik açığa karşı savunmasız durumda. Bu sayı, 19 Ekim’de 75.955 idi ve düşüş eğilimi gösterse de hâlâ yüksek bir risk seviyesi mevcut. ABD, yaklaşık 18.500 cihazla en çok etkilenen ülke konumunda. İtalya (5.400), Birleşik Krallık (4.000), Almanya (3.600) ve Kanada (3.000) ise en çok etkilenen diğer ülkeler arasında yer alıyor. Bu cihazların bir kısmı, konteyner tabanlı dağıtımlarda rastgele atanmış SSH portları üzerinden yönetiliyor, bu da saldırganların lateral hareket kabiliyetini artırabilir.
Yama ve Tavsiyeler
Federal Sivil Yürütme Dalları (FCEB) kurumlarına, 3 Aralık 2025 tarihine kadar WatchGuard tarafından yayımlanan yamaları uygulamaları şiddetle tavsiye ediliyor. Yama süreci, özellikle kritik altyapılarda MCP istemcisi ve Pydantic AI gibi güvenlik otomasyon araçlarının kesintisiz çalışması için dikkatle planlanmalı. Ayrıca, ağ yöneticilerinin AsyncRAT benzeri kötü amaçlı yazılımlara karşı IDS/IPS sistemlerini güncel tutmaları ve anormal IKE trafiğini izlemeleri öneriliyor.
CISA’nın KEV Kataloğuna Eklediği Diğer Kritik Açıklar
Bu gelişmeyle birlikte CISA, Windows çekirdeğinde yeni açıklanan CVE-2025-62215 (CVSS: 7.0) ve Gladinet Triofox’ta uygunsuz erişim kontrol açığı olan CVE-2025-12480 (CVSS: 9.1) zafiyetlerini de KEV kataloğuna ekledi. Google’ın Mandiant Threat Defense ekibi, CVE-2025-12480 açığının sömürülmesini UNC6485 adlı tehdit aktörüne atfediyor. Bu tür zafiyetler, özellikle bulut tabanlı dosya paylaşım sistemlerinde veri sızıntılarına yol açabilir.
Daha fazla teknik detay ve yamalar için NIST Ulusal Güvenlik Açığı Veritabanı ve CISA KEV Kataloğu ziyaret edilebilir.
Bu kritik güvenlik açığı, özellikle kurumsal ağlarda kullanılan WatchGuard Firebox cihazlarının güvenliğini doğrudan tehdit ediyor. Siber güvenlik profesyonellerinin, MCP istemcisi ve Pydantic AI gibi otomasyon ve analiz araçlarıyla entegre çalışan sistemlerde bu tür bellek taşması zafiyetlerine karşı proaktif önlemler alması önem taşıyor.