Firma WatchGuard ogłosiła wydanie poprawek do oprogramowania Fireware OS, mających na celu rozwiązanie krytycznej luki bezpieczeństwa, która została wykorzystana w realnych atakach. Wzmiankowana luka, oznaczona jako CVE-2025-14733 (wskaźnik CVSS: 9.3), dotyczy problemu z zapisem poza zakresem, który wpływa na proces iked, umożliwiając zdalnemu, nieautoryzowanemu atakującemu wykonanie dowolnego kodu.
W czwartek w komunikacie firma wskazała: „Ta luka dotyczy zarówno mobilnej sieci VPN używającej IKEv2, jak i sieci VPN dla biur rozproszonych wykorzystujących IKEv2, gdy są skonfigurowane z dynamicznym punktem bramowym.”
WatchGuard dodał, że jeśli urządzenie Firebox wcześniej było skonfigurowane z mobilnym VPN używającym IKEv2 lub podłączonym biurem do dynamicznego punktu bramowego, a obie te konfiguracje zostały usunięte, to Firebox nadal może być podatny, jeśli biuro zdalne jest skonfigurowane z punktem bramowym statycznym.
Wpływane wersje Fireware OS
Luka bezpieczeństwa dotyczy następujących wersji Fireware OS:
- 2025.1 – poprawka w wersji 2025.1.4
- 12.x – poprawka w wersji 12.11.6
- 12.5.x (modele T15 i T35) – poprawka w wersji 12.5.15
- 12.3.1 (wersja z certyfikatem FIPS) – poprawka w wersji 12.3.1_Update4 (B728352)
- 11.x (od 11.10.2 do 11.12.4_Update1) – osiągnięto koniec wsparcia
Aktywne zagrożenia i wskaźniki kompromitacji
WatchGuard zauważył, że aktorzy zagrożeń aktywnie próbują wykorzystać tę lukę, a ataki pochodzą z następujących adresów IP:
- 45.95.19[.]50
- 51.15.17[.]89
- 172.93.107[.]67
- 199.247.7[.]82
Interesujące jest to, że adres IP „199.247.7[.]82” został również zauważony przez Arctic Wolf na początku tygodnia jako związany z wykorzystaniem dwóch ostatnio ujawnionych luk w systemach Fortinet: FortiOS, FortiWeb, FortiProxy, i FortiSwitchManager (CVE-2025-59718 i CVE-2025-59719, wskaźniki CVSS: 9.8).
Firma z Seattle udostępniła także szereg wskaźników kompromitacji (IoCs), które właściciele urządzeń mogą wykorzystać do sprawdzenia, czy ich systemy zostały zainfekowane:
- Komunikat logu mówiący „Otrzymany łańcuch certyfikatów peer jest dłuższy niż 8. Odrzuć ten łańcuch certyfikatów” kiedy Firebox otrzymuje ładunek uwierzytelniania IKE2 z więcej niż 8 certyfikatami.
- Wiadomość logu zapytania IKE_AUTH z abnormanie dużym rozmiarem ładunku CERT (ponad 2000 bajtów).
- Podczas udanej eksploitacji proces iked zawiesi się, przerywając połączenia VPN.
- Po nieudanej lub udanej eksploitacji proces IKED ulegnie awarii i wygeneruje raport błędu na Fireboxie.
Ujawnienie tej informacji miało miejsce nieco ponad miesiąc po tym, jak amerykańska Agencja Bezpieczeństwa Cybernetycznego i Infrastrukturalnego (CISA) dodała inną krytyczną lukę w systemie WatchGuard Fireware OS (CVE-2025-9242, wskaźnik CVSS: 9.3) do swojego katalogu znanych luk. Na chwilę obecną nie wiadomo, czy oba te zestawy ataków są powiązane. Użytkownicy są zachęcani do jak najszybszego zainstalowania aktualizacji w celu zabezpieczenia się przed zagrożeniem.
Zalecenia Wstępne
W celu tymczasowego ograniczenia dla urządzeń z podatnymi konfiguracjami VPN dla biur rozproszonych (BOVPN), firma zaleciła administratorom wyłączenie dynamicznych punktów bramowych BOVPN, utworzenie aliasu obejmującego statyczne adresy IP zdalnych punktów bramowych BOVPN, dodanie nowych polityk zapory, które umożliwiają dostęp z aliasu oraz wyłączenie domyślnych wbudowanych polityk obsługujących ruch VPN.
