Почему критическая уязвимость в WatchGuard —

Home Почему критическая уязвимость в WatchGuard —
WAF

Почему критическая уязвимость в WatchGuard — это тревожный сигнал для каждого специалиста по безопасности

Представьте, что вы тратите тысячи долларов на современный firewall, чтобы защитить свою сеть, — и внезапно узнаёте, что он «охранял» ваш цифровой периметр так же надёжно, как листочек с паролем «password123», приклеенный на дверь. Именно это и происходит с недавно раскрытой уязвимостью, затрагивающей межсетевые экраны WatchGuard Firebox.

Проблема, зарегистрированная как CVE-2025-59396, не связана с изощрёнными атаками нулевого дня или инструментами кибератак уровня государств. Речь о куда более банальной и, откровенно говоря, позорной причине: устройства поставляются с учётными данными по умолчанию, которые никто не меняет.

Давайте разберём, что случилось, почему это важно и какие выводы из этого должны сделать все.

Уязвимость: простая, но разрушительная

Устройства WatchGuard Firebox, произведённые до 10 сентября 2025 года, поставляются с активированным доступом по SSH на порту 4118 и встроенными учётными данными по умолчанию:
логин: admin
пароль: readwrite

Если вы думаете: «Ну кто же оставит такие данные без изменения?» — увы, таких случаев тысячи по всему миру.

Цепочка атаки элементарна:

  1. Злоумышленник сканирует интернет на предмет устройств с открытым портом 4118
  2. Подключается с помощью любого SSH-клиента (хватит обычного PuTTY)
  3. Вводит стандартный логин и пароль
  4. Получает полные административные права на firewall

Никаких эксплойтов.
Никаких сложных техник взлома.
Просто всем известные имя пользователя и пароль.

Что может сделать злоумышленник? (Спойлер: всё.)

Получив административный доступ к firewall, злоумышленник фактически получает контроль над вашей периферией безопасности.

Сбор информации о сети

Атакующий может:

  • Чтить ARP-таблицы и строить карту внутренней сети
  • Извлекать сетевые конфигурации и архитектуру
  • Получать данные учетных записей
  • Извлекать ключи функций и информацию о расположении устройства

Это — полноценный чертёж вашей инфраструктуры.

Манипуляции политиками безопасности

Это самый опасный сценарий.

Атакующий может:

  • Изменять правила firewall
  • Удалять политики фильтрации
  • Полностью отключить защиту сети

То есть, ваш firewall буквально начнёт разрешать атаки, которые он должен предотвращать.

Латеральное перемещение и утечка данных

После компрометации firewall злоумышленник получает коридор в локальную сеть:

  • Перемещается по другим системам
  • Повышает привилегии
  • Выводит конфиденциальные данные наружу

Вывод инфраструктуры из строя

Злоумышленник способен:

  • Отключить firewall
  • Прервать сетевые соединения
  • Остановить критические сервисы

Это может привести к:

  • простоям бизнеса,
  • финансовым потерям,
  • нарушению SLA,
  • репутационному ущербу.

Неудобная правда о «учётных данных по умолчанию»

Эта ситуация демонстрирует старую как мир проблему:
мы знаем, что нужно менять пароли по умолчанию — но часто этого не делаем.

Почему?

  • Сжатые сроки: «поменяем позже»
  • Надежда на «защиту периметра»: «доступ ведь в отдельной сети»
  • Пробелы в документации
  • Размытая ответственность между специалистами

Главные уроки для каждой организации

1. Настройки безопасности должны быть обязательными, а не опциональными

Устройства должны запускаться в «режиме нулевого доверия», требуя настройки безопасности до ввода в эксплуатацию.

2. Дефолтные пароли — всегда публичны

Если пароль написан в мануале — он находится в базах инструментария злоумышленников.

3. Даже сегментированные сети не гарантируют защиты

Внутренние сети тоже могут быть скомпрометированы.

4. Автоматизация снижает человеческий фактор

Политики «никаких дефолтных учётных данных» должны быть принудительными и автоматизированными.

Что делать прямо сейчас (если у вас есть WatchGuard)

1. Проведите аудит всех устройств

Проверьте порт 4118 + актуальные пароли.

2. Немедленно смените все пароли по умолчанию

3. Ограничьте SSH-доступ

  • Если SSH не нужен — отключить.
  • Если нужен — разрешить только с доверенных IP.

4. Проверьте журналы доступа

Ищите входы с неизвестных адресов.

5. Установите обновления прошивки

6. Проведите аналогичный аудит для остальных систем

Switch, router, NAS, IoT, принтеры — всё.

Строим культуру безопасности

  • Составьте чек-листы харденинга
  • Введите этап проверки перед вводом в продакшн
  • Проводите регулярные конфигурационные аудиты
  • Обучайте специалистов почему это важно

Финальная мысль

Эта уязвимость — напоминание:
иногда самые опасные проблемы возникают не из-за сложных атак, а из-за простых шагов, которые мы не сделали.

И хорошая новость:
Чтобы устранить эту уязвимость, не нужно ждать патча.
Не нужно покупать новый firewall.
Не нужно вызывать внешних консультантов.

Нужно просто:

→ сменить пароли
→ закрыть доступ
→ перестроить процесс
→ и больше никогда не пропускать базовую гигиену безопасности.

Вопрос только один:
Вы сделаете это до инцидента или после?

О наших услугах безопасности

В SecurityLab мы помогаем организациям выявлять и устранять уязвимости до того, как они превращаются в инциденты.

Мы проводим:

  • комплексные аудиты конфигураций,
  • пентесты,
  • харденинг сетевой инфраструктуры,
  • мониторинг безопасности.