Компания WatchGuard выпустила экстренное уведомление о патче для своих межсетевых экранов Firebox после обнаружения критической уязвимости, которая уже активно используется злоумышленниками.
Уязвимость, получившая обозначение CVE-2025-14733 и оцененная в 9.3 по шкале CVSS, представляет собой ошибку типа “Out-of-bounds Write” в процессе iked. Этот компонент операционной системы WatchGuard Fireware отвечает за обмен ключами IKEv2 в VPN IPSec.
Согласно официальному уведомлению WatchGuard, эта уязвимость может “позволить удаленному неаутентифицированному злоумышленнику выполнить произвольный код”, что дает ему возможность получить контроль над устройством посредством удаленного выполнения кода (RCE) без необходимости входа в систему.
Поскольку атаки начались еще до выпуска патча компанией WatchGuard 18 декабря, CVE-2025-14733 является настоящей уязвимостью нулевого дня. Поэтому первоочередной задачей администраторов должно стать проверка устройств Firebox на наличие признаков текущего или недавнего взлома.
В уведомлении WatchGuard перечислены четыре IP-адреса, связанные с эксплуатацией уязвимости. Исходящий трафик на эти адреса является “сильным индикатором компрометации”, в то время как входящие соединения с них “могут указывать на разведывательные действия или попытки эксплуатации”, говорится в сообщении. При включенном логировании другими явными признаками являются сообщения в журнале запроса IKE_AUTH с аномально большим полезным грузом CERT размером более 2000 байт или свидетельства зависания процесса iked, отмечает компания.
Затронутые версии Fireware OS: 2025.1 до версии 2025.1.3 включительно, 12.0 до версии 12.11.5 включительно, а также устаревшая версия 11.10.2 до версии 11.12.4_Update1 включительно.
Исправленные версии: 2025.1.4, 12.11.6, 12.5.15 (модели T15 и T35) и 12.3.1_Update4 (B728352) для сертифицированного FIPS релиза. Для версии 11.x, которая считается устаревшей, исправления не существует.
Важно отметить, что WatchGuard предупреждает: одного лишь обновления может быть недостаточно. “Если Firebox ранее был настроен с использованием VPN для мобильных пользователей с IKEv2 или VPN для филиала с использованием IKEv2 с динамическим шлюзом-пиром, и обе эти конфигурации были впоследствии удалены, этот Firebox может по-прежнему оставаться уязвимым, если VPN для филиала со статическим шлюзом-пиром все еще настроен”, – говорится в сообщении.
Кроме того, некоторым администраторам предстоит выполнить дополнительные задачи после установки обновлений. Компания отмечает: “Помимо установки последней версии Fireware OS, содержащей исправление, администраторы, подтвердившие активность злоумышленников на своих устройствах Firebox, должны принять меры предосторожности для ротации всех локально хранящихся секретных данных на уязвимых устройствах Firebox”.
Дежавю
В сентябре WatchGuard устранила аналогичную уязвимость Firebox, CVE-2025-9242, которая также затрагивала конфигурацию VPN iked и имела оценку CVSS 9.3. В то время WatchGuard сообщала об отсутствии активной эксплуатации, но к октябрю компания пересмотрела эту оценку после обнаружения попыток эксплуатации.
Это напоминание о том, что не стоит слишком оптимистично относиться к первоначальным оценкам уязвимостей подобной инфраструктуры, поскольку эксплуатация часто обнаруживается после публичного обнародования информации об уязвимости. Межсетевые экраны и VPN являются основными целями для киберпреступников, и каждая значительная уязвимость в них представляет собой реальный и непосредственный риск кибербезопасности.
К сожалению, имеющиеся данные свидетельствуют о том, что некоторые клиенты WatchGuard не устанавливают исправления уязвимостей так быстро, как следовало бы. В октябре сканирование, проведенное The Shadowserver Foundation, показало, что более 71 000 устройств Firebox еще не были обновлены для устранения CVE-2025-9242, в том числе 23 000 в США. Несмотря на статус уязвимости нулевого дня, с CVE-2025-14733, вероятно, будет похожая история.
Медленное или нежелательное применение обновлений также может объяснить, почему российская хакерская группа «Sandworm» недавно была замечена в нацеливании на устройства WatchGuard Firebox и XTM путем эксплуатации уязвимостей CVE, датируемых несколькими годами ранее.
Автор – John E. Dunn
