WatchGuard ostrzega przed aktywnie wykorzystywaną luką RCE w Firebox (CVE-2025-14733)

Wprowadzenie do problemu / definicja luki

WatchGuard opublikował ostrzeżenie dotyczące krytycznej podatności umożliwiającej zdalne wykonanie kodu (RCE) w zaporach Firebox. Luka została oznaczona jako CVE-2025-14733 i dotyczy komponentu iked w systemie Fireware OS (obsługa negocjacji IKE/IPsec, w szczególności IKEv2). Co ważne: producent potwierdził próby aktywnej eksploatacji „w naturze” (in the wild).

Z perspektywy obrony sieciowej to „klasa” podatności, której nie można traktować jak typowego błędu aplikacyjnego: przejęcie firewalla/VPN gatewaya często oznacza przejęcie „najbardziej uprzywilejowanego” punktu w infrastrukturze.

W skrócie

• CVE: CVE-2025-14733
• Typ: Out-of-bounds write → potencjalne RCE bez uwierzytelniania (pre-auth) w procesie iked
• Warunki narażenia: konfiguracje Mobile User VPN (IKEv2) oraz Branch Office VPN (IKEv2) z dynamic gateway peer; dodatkowo podatność może się utrzymywać choćby po usunięciu konfiguracji (patrz sekcja techniczna).
• Skala: dotyczy wielu gałęzi Fireware (11.x, 12.x, 2025.1) i szerokiej gamy modeli Firebox (w tym wirtualnych/chmurowych)
• Ocena: WatchGuard podaje CVSS 9.3 (CVSS v4), a NVD prezentuje także CVSS 3.1 = 9.8.
• Fix: aktualizacja do wersji naprawionych (m.in. 2025.1.4, 12.11.6, 12.5.15, 12.3.1 Update 4) – szczegóły niżej.
• Sygnały ataku (przykłady): nietypowe logi IKE_AUTH/certyfikatów oraz zawieszenia/crashe procesu iked; WatchGuard opublikował też IP powiązane z aktywnością atakujących.
• KEV: CISA poinformowała o dodaniu CVE-2025-14733 do katalogu Known Exploited Vulnerabilities (KEV).

Kontekst / historia / powiązania

Wątek „RCE w IKE/IKEv2 na bramach VPN” wraca cyklicznie w branży – jest to atrakcyjny wektor, bo usługa VPN bywa wystawiana do internetu i obsługuje złożone formaty danych (negocjacje, certyfikaty, payloady). W przypadku WatchGuard warto zauważyć, iż firma wcześniej łatała bardzo podobny problem RCE w Firebox (CVE-2025-9242), a później obserwowano dużą liczbę urządzeń pozostających podatnych.

Dla obrony oznacza to jedno: choćby jeżeli Twoja organizacja „zwykle patchuje”, urządzenia brzegowe trzeba traktować jako absolutny priorytet (bo okno pomiędzy publikacją poprawek a masową eksploatacją bywa krótkie).

Analiza techniczna / szczegóły luki

Co dokładnie jest podatne?

Podatność jest opisana jako out-of-bounds write w procesie iked w WatchGuard Fireware OS. Taki błąd to w praktyce korupcja pamięci, która w sprzyjających warunkach może prowadzić do wykonania kodu (RCE).

Jakie konfiguracje są krytyczne?

WatchGuard wskazuje, iż problem dotyczy:

• Mobile User VPN z IKEv2, oraz
• Branch Office VPN z IKEv2 skonfigurowanych z dynamic gateway peer.

Istotny „haczyk”: jeżeli Firebox wcześniej miał skonfigurowany Mobile User VPN IKEv2 lub BOVPN IKEv2 do dynamicznego peera, a potem te wpisy usunięto, urządzenie wciąż może pozostać podatne, o ile przez cały czas skonfigurowany jest BOVPN do static gateway peer. To sugeruje, iż sama „czystość” konfiguracji w GUI nie zawsze domyka powierzchnię ataku (np. pozostają aktywne ścieżki kodu/usługi).

Wersje podatne i wersje naprawione

Zgodnie z opisem producenta oraz wpisem w NVD, podatne są m.in. zakresy:

• 11.10.2 → 11.12.4_Update1
• 12.0 → 12.11.5
• 2025.1 → 2025.1.3

Wersje naprawione (wg tabeli „Resolution” WatchGuard):

• 2025.1 → 2025.1.4
• 12.x → 12.11.6
• 12.5.x (modele T15 i T35) → 12.5.15
• 12.3.1 (FIPS) → 12.3.1_Update4 (B728352)
• 11.x → End of Life (czyli bez dalszych poprawek).

IOC/IoA – jak wygląda telemetria ataków?

WatchGuard opublikował „Indicators of Attack”, które są szczególnie przydatne operacyjnie, bo pozwalają szybciej triagować incydent:

Adresy IP powiązane z aktywnością atakujących – WatchGuard podkreśla, iż połączenia wychodzące do tych IP są mocnym wskaźnikiem kompromitacji, a przychodzące mogą sugerować rekonesans/eksploatację:

• 45.95.19[.]50
• 51.15.17[.]89
• 172.93.107[.]67
• 199.247.7[.]82

Przykładowe logi IKE (IoA):

• komunikat o zbyt długim łańcuchu certyfikatów („…longer than 8…”) przy IKE2 Auth payload z >8 certyfikatami, oraz
• log IKE_AUTH z nienaturalnie dużym CERT payload (wskazany próg >2000 bajtów).

Zachowanie urządzenia (telemetria):

• podczas udanej eksploatacji proces iked może się zawieszać (zrywanie negocjacji/rekey),
• po próbie udanej lub nieudanej proces iked może crashować i generować fault report.

Praktyczne konsekwencje / ryzyko

Jeśli atakujący uzyska możliwość zdalnego wykonania kodu na firewallu/VPN gatewayu, konsekwencje zwykle wykraczają poza „jeden serwer mniej”:

• przejęcie punktu styku z internetem (brzeg infrastruktury),
• pivot do sieci wewnętrznej i segmentów „za firewallem”,
• potencjalna manipulacja regułami, trasowaniem, a choćby obserwacja/zakłócanie tuneli VPN,
• ryzyko kradzieży danych uwierzytelniających przechowywanych lokalnie oraz eskalacji do domeny/SSO (zależnie od integracji). (To są typowe scenariusze dla kompromitacji bram VPN; konkretne kroki zależą od tego, co napastnik zrobi po uzyskaniu kontroli).

NHS England ocenia dalszą eksploatację jako prawdopodobną i rekomenduje pilne zastosowanie poprawek zgodnie z advisory producenta.

Rekomendacje operacyjne / co zrobić teraz

Poniżej checklista „co robić dziś”, ułożona pod realia SOC/infra.

1) Patch (priorytet #1)

• Zidentyfikuj wersje Fireware w całej flocie (również instancje wirtualne/chmurowe).
• Aktualizuj do wersji naprawionych: 2025.1.4 / 12.11.6 / 12.5.15 / 12.3.1_Update4 (zgodnie z gałęzią).
• Jeśli masz 11.x – to EOL. Tu „patch” może oznaczać migrację/upgrade sprzętu/wersji, bo poprawki nie będą dostępne.

2) Ogranicz ekspozycję IKEv2 (jeśli musisz chwilę poczekać z patchem)

Jeśli z powodów operacyjnych patchowanie wymaga okna serwisowego:

• ogranicz dostęp do usług VPN/IKEv2 tylko do zaufanych adresów/peerów (polityki/ACL, geofencing jeżeli pasuje do profilu ryzyka),
• przejrzyj konfiguracje dynamic gateway peer i usuń/wyłącz nieużywane,
• rozważ czasowe wyłączenie najbardziej ryzykownych ścieżek (zależnie od tego, jak masz zestawione BOVPN).

WatchGuard opisuje też tymczasowe działania dla środowisk z BOVPN, gdy nie da się natychmiast zaktualizować (m.in. wyłączenie dynamic peer BOVPN i korekta polityk).

3) Hunting/IR: sprawdź IoA/IOC

• Przeskanuj logi pod kątem komunikatów o „peer certificate chain > 8” oraz IKE_AUTH z dużym CERT payload.
• Sprawdź firewall/flow/EDR/NDR pod kątem połączeń wychodzących do wskazanych IP (to ma być „mocny” sygnał kompromitacji).
• Zwróć uwagę na nietypowe crashe/zawieszenia iked (zrywanie renegocjacji, rekey, fault reports).

4) Rotacja sekretów po wykryciu śladów aktywności

Jeśli potwierdzisz podejrzaną aktywność/kompromitację, producent rekomenduje rotację lokalnie przechowywanych sekretów na podatnych urządzeniach (PSK, hasła, klucze/certy – zależnie od użycia).

5) Priorytetyzacja ryzyka

CISA sygnalizuje, iż CVE-2025-14733 trafiło do katalogu KEV, co w praktyce oznacza: „to nie jest teoretyczne, to jest wykorzystywane”. W wielu organizacjach to automatycznie powinno podbić priorytet w procesie zarządzania podatnościami.

Różnice / porównania z innymi przypadkami

Najbliższym punktem odniesienia jest wspomniana wcześniej podatność CVE-2025-9242 – również dotycząca Firebox/Fireware i również opisywana jako bliska „rodzina” problemów RCE w okolicach IKE/iked. BleepingComputer zwraca uwagę, iż obecna luka pojawia się niedługo po tamtym incydencie i iż historycznie liczba niezałatanych urządzeń bywała wysoka.

Wniosek praktyczny: jeżeli w Twojej organizacji Firebox jest traktowany jako „appliance, którego nie ruszamy”, to jest dokładnie ten moment, by zmienić podejście (SLA na łatki dla edge).

Podsumowanie / najważniejsze wnioski

• CVE-2025-14733 to krytyczna, aktywnie wykorzystywana podatność typu out-of-bounds write w iked (IKEv2) w WatchGuard Fireware OS, umożliwiająca pre-auth RCE.
• Ryzyko dotyczy szerokiego spektrum wersji i urządzeń; szczególnie problematyczne są środowiska na 11.x (EOL).
• WatchGuard udostępnił konkretne IoA (logi, zachowanie procesu, IP), które warto natychmiast wykorzystać w SOC.
• Najszybsza i najpewniejsza droga redukcji ryzyka to aktualizacja do wersji naprawionych i ograniczenie ekspozycji IKEv2 tam, gdzie to możliwe.

Źródła / bibliografia

1. WatchGuard PSIRT – WGSA-2025-00027 (CVE-2025-14733, wersje podatne/naprawione, IoA/IOC). (WatchGuard)
2. BleepingComputer – informacja o aktywnej eksploatacji, kontekst (m.in. CVE-2025-9242) i działania tymczasowe. (BleepingComputer)
3. NVD (NIST) – wpis CVE (opis, zakres wersji, metryki, daty publikacji). (nvd.nist.gov)
4. NHS England Digital – alert o eksploatacji i zalecenia remediacji. (NHS England Digital)
5. CISA Cyber (X) – komunikat o dodaniu CVE-2025-14733 do KEV. (X (formerly Twitter))