Ponad 115 tys. firewalli WatchGuard Firebox wciąż podatnych na aktywnie wykorzystywaną lukę RCE (CVE-2025-14733) - Security Bez Tabu

Ponad 115 tys. firewalli WatchGuard Firebox wciąż podatnych na aktywnie wykorzystywaną lukę RCE (CVE-2025-14733)

Wprowadzenie do problemu / definicja luki

WatchGuard potwierdził aktywne próby wykorzystania krytycznej podatności typu remote code execution (RCE) w zaporach Firebox z systemem Fireware OS. Luka ma identyfikator CVE-2025-14733, dotyczy procesu iked (Internet Key Exchange daemon) i pozwala na zdalne, nieuwierzytelnione wykonanie kodu przy spełnieniu określonych warunków konfiguracyjnych. Producent ocenia ją jako Critical (CVSS 9.3).

Skala problemu jest duża: według analiz przytaczanych w mediach branżowych, >115 tys. instancji Fireboxów wystawionych do Internetu pozostawało niezałatanych w trakcie opisywanej kampanii ataków (różne źródła podają też wyniki skanów rzędu ~125 tys. IP).

W skrócie

  • Co to jest: krytyczne RCE w Fireware OS / iked (out-of-bounds write).
  • Kiedy groźne: gdy urządzenie ma/ miało konfigurację IKEv2 VPN (Mobile User VPN IKEv2 lub BOVPN IKEv2 z dynamicznym peerem); ryzyko może utrzymywać się nawet po „wyczyszczeniu” części ustawień, jeśli pozostaje BOVPN do statycznego peera.
  • Status: WatchGuard udostępnił poprawki (m.in. 2025.1.4, 12.11.6, 12.5.15, 12.3.1 Update 4).
  • Eksploatacja: producent i media potwierdzają aktywne próby ataków „in the wild”; CISA dodała CVE do katalogu KEV.

Kontekst / historia / powiązania

To kolejny przykład trendu, w którym atakujący polują na urządzenia brzegowe (firewalle/VPN), bo są:

  • wystawione do Internetu,
  • często zarządzają „kluczowymi” tunelami i ruchem,
  • a kompromitacja daje wygodny przyczółek do dalszej penetracji sieci.

Dodatkowo WatchGuard wprost wskazuje, że obserwowane próby wykorzystania CVE-2025-14733 wpisują się w szerszą kampanię wymierzoną w infrastrukturę edge u wielu dostawców.

Analiza techniczna / szczegóły luki

Mechanizm

CVE-2025-14733 to out-of-bounds write w procesie iked Fireware OS, co może prowadzić do zdalnego wykonania kodu bez uwierzytelnienia.

Zakres wersji podatnych (wg producenta)

Podatne są wersje Fireware OS:

  • 11.10.2 – 11.12.4_Update1
  • 12.0 – 12.11.5
  • 2025.1 – 2025.1.3

Warunek „czy mój Firebox jest realnie narażony?”

Kluczowy niuans: WatchGuard wyjaśnia, że urządzenia są podatne na atak tylko wtedy, gdy w grę wchodzi konfiguracja IKEv2 VPN (Mobile User VPN IKEv2 lub BOVPN IKEv2 z dynamicznym gateway peer). Co więcej, nawet jeśli część konfiguracji została usunięta, urządzenie może nadal pozostać w ryzyku, gdy nadal istnieje BOVPN do statycznego peera.

IoA (Indicators of Attack) i objawy

WatchGuard opublikował Indicators of Attack pomocne w detekcji prób eksploatacji/kompromitacji, m.in.:

  • IP-y powiązane z aktywnością atakujących (producent rozróżnia znaczenie połączeń outbound vs inbound),
  • logi sugerujące nietypowe zachowanie IKEv2 (np. nietypowo długi łańcuch certyfikatów / ponadnormatywnie duży payload CERT),
  • symptomy na urządzeniu: zawieszenie lub crash iked, co może zrywać negocjacje/re-key tuneli.

Praktyczne konsekwencje / ryzyko

Jeśli atak się powiedzie, skutki typowe dla przejęcia firewalla/VPN są bardzo poważne:

  • pełne przejęcie urządzenia brzegowego i ruchu,
  • możliwość pivotu do sieci wewnętrznej (AD, serwery plików, backupy),
  • podsłuch/ingerencja w tunele, podstawienie reguł, trwałość dostępu,
  • ryzyko incydentu ransomware lub eksfiltracji danych.

Ryzyko jest podbite przez fakt, że skany Internetu wskazują dziesiątki/ponad sto tysięcy potencjalnie podatnych instancji, a luka jest łączona z aktywną eksploatacją.

Rekomendacje operacyjne / co zrobić teraz

1) Patch natychmiast (priorytet P0)

WatchGuard udostępnił poprawione wersje, m.in.:

  • Fireware 2025.1.4+
  • Fireware 12.11.6+
  • Fireware 12.5.15+
  • Fireware 12.3.1 Update 4+

Uwaga: media wskazują, że Fireware 11.x jest EoL i może nie otrzymać poprawek — w takim przypadku realnie wchodzi w grę upgrade sprzętu/wersji albo odcięcie ekspozycji/usługi.

2) Ustal ekspozycję i warunki podatności

  • Sprawdź, czy na urządzeniu jest (lub była) konfiguracja IKEv2 VPN (Mobile User VPN IKEv2, BOVPN IKEv2 z dynamic gateway peer).
  • Zweryfikuj, czy nie pozostały elementy, które utrzymują ryzyko (np. BOVPN do statycznego peera).

3) Detekcja i hunting (krótkoterminowo)

  • Monitoruj IoA od WatchGuard: podejrzane IP, wskazane wzorce logów, objawy zawieszeń/crashy iked.
  • Jeżeli widzisz symptomy kompromitacji: traktuj urządzenie jak potencjalnie przejęte.

4) Rotacja sekretów po incydencie

WatchGuard rekomenduje rotację lokalnie przechowywanych sekretów na podatnych firewallach, jeśli wykryto oznaki złośliwej aktywności. W praktyce obejmuje to co najmniej: klucze/pre-shared keys, hasła kont lokalnych, certyfikaty/klucze prywatne używane przez VPN (w zależności od wdrożenia).

5) Minimalizacja powierzchni ataku (dobre praktyki)

Niezależnie od patchowania:

  • ogranicz wystawienie usług VPN do niezbędnych adresów (ACL, geo, allowlist),
  • chroń interfejsy zarządzania (MFA, dostęp tylko z sieci administracyjnych),
  • zbieraj logi z urządzeń brzegowych do SIEM i ustaw alerty na anomalie w IKEv2.

Różnice / porównania z innymi przypadkami (jeśli dotyczy)

BleepingComputer zwraca uwagę na podobieństwo do wcześniejszej luki w Fireboxach (CVE-2025-9242), co praktycznie oznacza dwie lekcje:

  1. IKE/IPsec na brzegu pozostaje „gorącą” powierzchnią ataku,
  2. po publikacji poprawek okno czasowe do masowego skanowania i prób eksploatacji bywa bardzo krótkie — dlatego proces patchowania urządzeń edge powinien działać w trybie „emergency change”.

Podsumowanie / kluczowe wnioski

  • CVE-2025-14733 to krytyczne, aktywnie wykorzystywane RCE w WatchGuard Firebox / Fireware OS (iked).
  • Najważniejszy krok to natychmiastowa aktualizacja do wersji zawierających fix (np. 2025.1.4 / 12.11.6 / 12.5.15 / 12.3.1 Update 4).
  • Równolegle trzeba wykonać weryfikację konfiguracji IKEv2 i przeprowadzić hunting po IoA oraz symptomach iked.
  • W środowiskach na EoL realnym remedium może być upgrade/ wymiana lub zdecydowane ograniczenie ekspozycji usług.

Źródła / bibliografia

  1. WatchGuard PSIRT Advisory: WGSA-2025-00027 (CVE-2025-14733) (watchguard.com)
  2. WatchGuard Blog: dostępne wersje Fireware 2025.1.4 / 12.11.6 / 12.5.15 / 12.3.1 Update 4 (watchguard.com)
  3. BleepingComputer: „Critical RCE flaw impacts over 115,000 WatchGuard firewalls” (BleepingComputer)
  4. SecurityWeek: „WatchGuard Patches Firebox Zero-Day Exploited in the Wild” (SecurityWeek)
  5. CISA: Known Exploited Vulnerabilities Catalog (wpis dla CVE-2025-14733) (cisa.gov)