Найти в Дзене
CISOCLUB
11,4 тыс подписчиков

CVE-2025-14733: критическая RCE в WatchGuard Firebox

4 мин
Новая критическая уязвимость CVE-2025-14733 позволяет осуществить удалённое выполнение кода (RCE) на устройствах WatchGuard Firebox, работающих под управлением уязвимых версий Fireware OS. Уязвимость связана с ошибкой записи за пределы буфера в процессе iked, который отвечает за обработку переговоров по ключам Internet Key Exchange в туннелях IKEv2. Эксплуатация возможна дистанционно и без аутентификации, что делает проблему крайне опасной для организаций. Причина — out-of-bounds write в процессе iked, используемом для установления и поддержания IKEv2-VPN. Злоумышленник может отправить специально сформированные пакеты для нарушения логики обработки и получения контроля над уязвимым устройством. Уязвимость оценена по шкале CVSS в 9,3 балла. Из‑за критического характера уязвимости на неё была выпущена обязательная операционная директива BOD 22-01. Организациям поручено внедрить исправления или стратегии смягчения к 26 декабря 2025 года. Основные меры, которые следует принять немедленно:
Оглавление

Новая критическая уязвимость CVE-2025-14733 позволяет осуществить удалённое выполнение кода (RCE) на устройствах WatchGuard Firebox, работающих под управлением уязвимых версий Fireware OS. Уязвимость связана с ошибкой записи за пределы буфера в процессе iked, который отвечает за обработку переговоров по ключам Internet Key Exchange в туннелях IKEv2. Эксплуатация возможна дистанционно и без аутентификации, что делает проблему крайне опасной для организаций.

Суть уязвимости

Причина — out-of-bounds write в процессе iked, используемом для установления и поддержания IKEv2-VPN. Злоумышленник может отправить специально сформированные пакеты для нарушения логики обработки и получения контроля над уязвимым устройством. Уязвимость оценена по шкале CVSS в 9,3 балла.

Почему это важно

  • Удалённый и безаутентификационный характер атаки: злоумышленнику не требуется авторизация для эксплуатации.
  • Высокая оценка CVSS (9,3): уязвимость относится к категории критических.
  • Активная эксплуатация: CISA включила CVE-2025-14733 в каталог известных эксплуатируемых уязвимостей (KEV), отмечая случаи эксплуатации в дикой природе.
  • Масштаб: по данным, более 115 000 устройств WatchGuard Firebox могут быть подвержены уязвимости; многие остаются доступными в сети даже после выпуска исправлений.

Возможные последствия при эксплуатации

  • получение удалённого выполнения кода на уязвимом устройстве;
  • манипуляции с сетевым трафиком и перехват данных;
  • нарушение работоспособности VPN-подключений;
  • использование скомпрометированного Firebox как плацдарма для дальнейшей атаки внутри сети.

Регуляторные требования и сроки

Из‑за критического характера уязвимости на неё была выпущена обязательная операционная директива BOD 22-01. Организациям поручено внедрить исправления или стратегии смягчения к 26 декабря 2025 года.

Рекомендации по защите и смягчению последствий

Основные меры, которые следует принять немедленно:

  • Применить официальные исправления от WatchGuard для соответствующих версий Fireware OS — это первоочередное и наиболее надёжное решение.
  • Если немедленное патчирование невозможно — ограничить доступ к IKEv2 на периметре (firewall rules, ACL), вплоть до временной деактивации IKEv2, где допустимо.
  • Пересмотреть конфигурации VPN (BOVPN) в соответствии с рекомендациями WatchGuard: использовать безопасные профили, сильные криптографические параметры и минимальные доверенные сети.
  • Ограничить доступ к административным интерфейсам и включить многофакторную аутентификацию там, где это применимо.
  • Контролировать и сегментировать сеть: при необходимости изолировать уязвимые устройства до применения исправлений.

Индикаторы компрометации (IoC) и поведенческие признаки

WatchGuard поделилась следующими наблюдаемыми признаками, которые могут указывать на попытку эксплуатации или успешное компрометирование:

  • процесс iked заходит в состояние «тупика» (hang), что препятствует успешным переговорам по VPN — это наиболее убедительный индикатор;
  • сбои процесса iked, сопровождаемые системными сообщениями об ошибках — менее определённый, но также сигнализирующий признак;
  • неожиданная потеря или восстановление BOVPN-соединений, аномальные изменения в трафике между филиалами и центральной сетью.

Рекомендуется настроить мониторинг логов и метрик процессов, а также уведомления при обнаружении перечисленных признаков.

Практические советы для администраторов

  • Составьте список всех устройств WatchGuard Firebox в инфраструктуре и проверьте версии Fireware OS.
  • Приоритизируйте обновление устройств, которые доступны из интернета или обслуживают критичный трафик.
  • Внедрите временные фильтры по источникам/целям для трафика IKEv2 и ограничьте доступ по IP, где это возможно.
  • Проведите аудит BOVPN-конфигураций и примените рекомендации WatchGuard по усилению настроек.
  • Документируйте все действия и, при наличии инцидентов, сохраняйте логи для последующего расследования.

Вывод

CVE-2025-14733 представляет собой реальную и немедленную угрозу для организаций, использующих WatchGuard Firebox. Из‑за возможности удалённого RCE без аутентификации и фиксации активной эксплуатации со стороны злоумышленников, приоритетом должны быть применение официальных исправлений и временные меры по ограничению доступа к IKEv2. Невыполнение требований директивы BOD 22-01 и отсрочка патчей увеличивают риск серьёзных инцидентов и вторичных проникновений в корпоративную сеть.

Рекомендация: действуйте немедленно — проверьте инвентарь Firebox, примените патчи или временные ограничения на IKEv2 и организуйте мониторинг процессов iked и состояния BOVPN.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "CVE-2025-14733: критическая RCE в WatchGuard Firebox".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.

Кибербезопасность
25,6 тыс интересуются