Το Ίδρυμα Shadowserver εντόπισε περίπου 125.000 συσκευές τείχους προστασίας WatchGuard Firebox παγκοσμίως σε κίνδυνο λόγω μιας κρίσιμης ευπάθειας που αξιοποιήθηκε ενεργά.
Το ελάττωμα, το οποίο εντοπίζεται ως CVE-2025-14733, επιτρέπει στους μη επαληθευμένους απομακρυσμένους εισβολείς να εκτελούν αυθαίρετο κώδικα σε μη επιδιορθωμένες συσκευές με ελάχιστη προσπάθεια.
Η ευπάθεια προέρχεται από ένα ελάττωμα εγγραφής εκτός ορίων στη διαδικασία ανταλλαγής κλειδιών VPN του WatchGuard Fireware OS IKEv2.
Με βαθμολογία CVSS 9,8, αυτό το κρίσιμο ελάττωμα δεν απαιτεί αλληλεπίδραση με τον χρήστη. Μπορεί να γίνει εκμετάλλευση μέσω του δικτύου χωρίς έλεγχο ταυτότητας.
| Αναγνωριστικό CVE | Τύπος ευπάθειας | Βαθμολογία CVSS | Επηρεασμένο στοιχείο | Διάνυσμα επίθεσης |
|---|---|---|---|---|
| CVE-2025-14733 | Γράψτε εκτός ορίων | 9.8 | WatchGuard Fireware OS iked διαδικασία | Δίκτυο (χωρίς έλεγχο ταυτότητας) |
Ανακαλύφθηκε τεράστια έκθεση
Το WatchGuard επιβεβαίωσε ότι οι φορείς απειλών επιχειρούν ενεργά εκμετάλλευση στην άγρια φύση, καθιστώντας αυτό μια πραγματική απειλή μηδενικής ημέρας για οργανισμούς που δεν έχουν ακόμη επιδιορθωθεί.
.webp.jpeg "125.000 IP Συσκευές WatchGuard Firebox που εκτίθενται στο Διαδίκτυο ευάλωτες σε επιθέσεις RCE")
Η ευπάθεια επηρεάζει ρητά τις διαμορφώσεις VPN χρηστών κινητών με IKEv2 και τις ρυθμίσεις VPN υποκαταστημάτων που χρησιμοποιούν το IKEv2 με ομότιμες δυναμικές πύλης.
Το Hazardous είναι ένα σενάριο “διαμόρφωσης ζόμπι”: ακόμα κι αν οι διαχειριστές διέγραψαν ευάλωτες ρυθμίσεις VPN. Τα τείχη προστασίας ενδέχεται να παραμείνουν σε κίνδυνο, εάν παραμείνουν στη θέση τους οι σήραγγες VPN υποκαταστημάτων σε ομότιμους στατικής πύλης.
Η ευπάθεια επηρεάζει πολλές εκδόσεις του Fireware OS.
| Έκδοση Fireware | Κατάσταση | Απαιτούμενη ενέργεια |
|---|---|---|
| 2025.1 (≤ 2025.1.3) | Τρωτός | Αναβάθμιση σε 2025.1.4 |
| 12,x (≤ 12.11.5) | Τρωτός | Αναβάθμιση σε 12.11.6 |
| 12.5.χ | Τρωτός | Αναβάθμιση σε 12.5.15 |
| 12.3.1 (FIPS) | Τρωτός | Ενημέρωση στην 12.3.1 Ενημέρωση 4 |
| 11.χ | Τέλος Ζωής | Απαιτείται πλήρης αναβάθμιση |
Η κλίμακα της έκθεσης είναι ανησυχητική. Η σάρωση του Shadowserver εντόπισε ευάλωτες συσκευές παγκοσμίως, με συγκεντρώσεις στη Βόρεια Αμερική και την Ευρώπη.
Αυτό αντικατοπτρίζει ένα προηγούμενο περιστατικό στο οποίο ο Shadowserver εντόπισε περισσότερα από 75.000 μη επιδιορθωμένες συσκευές Firebox ευάλωτες στο CVE-2025-9242.
Το WatchGuard παρείχε συγκεκριμένους δείκτες συμβιβασμού, συμπεριλαμβανομένων τεσσάρων διευθύνσεων IP που συνδέονται άμεσα με προσπάθειες ενεργούς εκμετάλλευσης.
Οι οργανισμοί θα πρέπει να ελέγχουν τα αρχεία καταγραφής τείχους προστασίας για ανωμαλίες αλυσίδας πιστοποιητικών και ασυνήθιστα μεγάλα ωφέλιμα φορτία IKE_AUTH που υπερβαίνουν τα 2.000 byte.
Οι οργανισμοί πρέπει να δώσουν προτεραιότητα στην άμεση ενημέρωση όλων των συσκευών Firebox. Οι ομάδες ασφαλείας θα πρέπει να παρακολουθούν για ύποπτες δραστηριότητες VPN και να ελέγχουν τα αρχεία καταγραφής ελέγχου για δείκτες επίθεσης.
Περιστρέψτε όλα τα τοπικά αποθηκευμένα διαπιστευτήρια σε δυνητικά παραβιασμένες συσκευές. Δεδομένης της ενεργητικής εκμετάλλευσης, οι καθυστερήσεις αυξάνουν σημαντικά τον κίνδυνο παραβίασης.
