Zero-day w WatchGuard Firebox: CVE-2025-14733 aktywnie wykorzystywana do ataków na VPN IKEv2

Wprowadzenie do problemu / definicja luki

Pod koniec grudnia 2025 r. WatchGuard potwierdził aktywne próby wykorzystania krytycznej podatności typu out-of-bounds write w procesie iked systemu Fireware OS (urządzenia Firebox). Luka, oznaczona jako CVE-2025-14733, umożliwia zdalne wykonanie kodu (RCE) bez uwierzytelnienia w kontekście usług VPN opartych o IKEv2.

W praktyce oznacza to klasyczny scenariusz „edge device takeover”: atakujący celują w urządzenie brzegowe (firewall/VPN), które często stoi na styku Internetu i sieci wewnętrznej.

W skrócie

• CVE: CVE-2025-14733
• Typ: out-of-bounds write → RCE bez uwierzytelnienia
• Komponent: Fireware OS iked (negocjacje IKE/IPsec)
• Warunek ekspozycji: konfiguracje Mobile User VPN (IKEv2) lub BOVPN (IKEv2) z dynamic gateway peer
• Status: obserwowane próby eksploatacji „w naturze” + opis aktywności post-exploit (eksfil konfiguracji/DB użytkowników)
• Naprawa: aktualizacja do wersji zawierających poprawkę (m.in. 2025.1.4, 12.11.6, 12.5.15, 12.3.1 Update 4)
• Ryzyko: przejęcie firewalla, kradzież sekretów/tuneli, pivot do sieci LAN

Kontekst / historia / powiązania

Z perspektywy trendów to kolejny przykład nasilonych działań przeciwko urządzeniom brzegowym. Dark Reading wskazuje, iż WatchGuard dołącza do listy vendorów atakowanych w ostatnich tygodniach w ramach szerszej fali kampanii wymierzonych w edge networking i „wystawioną” infrastrukturę wielu producentów.

Istotne jest też tempo eskalacji: WatchGuard opublikował informacje i poprawki 18 grudnia 2025, a advisory był następnie aktualizowany (m.in. 23 grudnia 2025) o obserwacje dotyczące aktywności po udanej eksploatacji.

Analiza techniczna / szczegóły luki

Co jest podatne?

CVE-2025-14733 dotyczy błędu out-of-bounds write w procesie iked. Występuje w scenariuszach, gdy urządzenie obsługuje IKEv2 dla:

• Mobile User VPN z IKEv2, oraz/lub
• Branch Office VPN (BOVPN) z IKEv2 skonfigurowanym jako dynamic gateway peer.

Uwaga praktyczna: WatchGuard podkreśla, iż choćby jeżeli konfiguracje IKEv2 „dynamic” zostały usunięte, urządzenie może pozostać podatne w określonych konfiguracjach BOVPN (scenariusz „było kiedyś włączone + zmiany konfiguracji”).

Skala i ocena podatności

NVD pokazuje krytyczną ocenę (m.in. CVSS 3.1: 9.8 CRITICAL).

Co robi atakujący po uzyskaniu dostępu?

W zaktualizowanym advisory WatchGuard opisuje dwa zaobserwowane warianty aktywności post-exploit:

1. Szyfrowanie i eksfiltracja aktywnej konfiguracji Fireboxa do adresu IP, z którego pochodzi atak.
2. Utworzenie archiwum gzip zawierającego aktywną konfigurację + lokalną bazę użytkowników zarządzania i eksfiltracja (również do IP źródłowego).

To istotny sygnał: choćby „jednorazowe” przejęcie urządzenia brzegowego ma wartość, bo konfiguracje zawierają klucze, hasła, PSK, certyfikaty, definicje tuneli, adresacje i reguły.

Wskaźniki ataku (IoA/IoC) – co w logach i na urządzeniu

WatchGuard publikuje m.in. listę adresów IP powiązanych z aktywnością oraz wzorce logów/objawów:

• przykładowe IP (IoC) powiązane z działaniami napastników (NCSC NZ cytuje tę samą listę):
  45.95.19[.]50, 51.15.17[.]89, 172.93.107[.]67, 199.247.7[.]82
• symptomy na urządzeniu: zawieszenie iked (silny wskaźnik) lub crash iked (słabszy wskaźnik) oraz charakterystyczne komunikaty diagnostyczne IKE.

Praktyczne konsekwencje / ryzyko

Najbardziej realistyczne skutki biznesowe/operacyjne:

• Pełne przejęcie firewalla/VPN (RCE bez auth) i kontrola nad ruchem brzegowym.
• Kradzież konfiguracji i sekretów: PSK, hasła, klucze, certyfikaty, konta adminów, definicje tuneli (co ułatwia dalsze włamania).
• Pivot do sieci wewnętrznej: urządzenie brzegowe bywa „najlepszym” punktem do lateral movement.
• Trudność detekcji: objawy mogą wyglądać jak „problemy VPN”, a nie kompromitacja (np. hang iked i przerwane renegocjacje).

Dodatkowo NVD odnotowuje, iż podatność trafiła do kategorii znanych aktywnie wykorzystywanych (KEV), z terminem działań (dla podmiotów objętych wymaganiami) ustawionym na 26 grudnia 2025 — co jest mocnym sygnałem priorytetu.

Rekomendacje operacyjne / co zrobić teraz

Priorytet 1: Patch management (natychmiast)

Docelowo aktualizuj do wersji zawierających poprawkę:

• Fireware 2025.1.4
• Fireware 12.11.6
• Fireware 12.5.15 (dla modeli T15/T35)
• Fireware 12.3.1 Update 4 (release FIPS)

11.x jest EOL — jeżeli masz ten branch, planuj upgrade (software/hardware) jako działanie „awaryjne”, bo samo „łatam później” nie zadziała.

Priorytet 2: Incident response (jeśli urządzenie było wystawione)

Jeśli podejrzewasz udaną eksploatację lub widzisz IoA/IoC:

• wykonaj działania naprawcze wg advisory,
• rotuj wszystkie sekrety przechowywane lokalnie na Fireboxie (PSK, hasła, klucze/certyfikaty użyte w tunelach, konta lokalne, integracje).

Priorytet 3: Twarde ograniczenie ekspozycji IKEv2 (defense-in-depth)

Nawet po aktualizacji warto:

• ograniczyć ekspozycję IKEv2 do wymaganych źródeł (allowlist IP partnerów/BOVPN),
• monitorować stabilność procesu iked (crash/hang jako sygnał SOC),
• wdrożyć alerty na nietypowe logi IKE i ruch wychodzący do IoC.

Workaround (tylko jeżeli nie możesz patchować „tu i teraz”)

WatchGuard wskazuje tymczasową ścieżkę dla środowisk, które używają wyłącznie BOVPN do static gateway peers i nie mogą natychmiast wdrożyć poprawki — zgodnie z ich rekomendacjami „Secure Access…” dla IPSec/IKEv2. Traktuj to jako pomost, nie docelowe rozwiązanie.

Różnice / porównania z innymi przypadkami

To zdarzenie ma typowy profil „edge zero-day”, ale wyróżniają je dwie rzeczy:

1. Powiązanie z IKEv2 i iked – czyli newralgiczny komponent, który z definicji musi przyjmować ruch z Internetu, często zanim dojdzie do jakiejkolwiek „sensownej” autoryzacji na poziomie aplikacyjnym.
2. Opis post-exploit nastawiony na kradzież konfiguracji i bazy użytkowników – co sugeruje, iż dla atakujących wartością jest szybkie pozyskanie sekretów i materiału do dalszych operacji (np. przejęcia tuneli, dostępu do sieci partnerów, kolejnych urządzeń).

W szerszym kontekście grudnia 2025 Dark Reading wiąże te zdarzenia z falą ataków na urządzenia brzegowe wielu producentów — co podnosi ryzyko masowego skanowania i „sprayowania” exploitów w Internet.

Podsumowanie / najważniejsze wnioski

• CVE-2025-14733 to krytyczna podatność RCE bez auth w WatchGuard Firebox / Fireware OS iked, realnie wykorzystywana przez threat actorów.
• Jeśli Twoja organizacja używa IKEv2 (szczególnie dynamic gateway peer) na brzegu — traktuj temat jako P1.
• Po patchu nie kończy się praca: ze względu na eksfil konfiguracji trzeba założyć konieczność rotacji sekretów przy podejrzeniu incydentu.
• Dla środowisk na 11.x (EOL) to sygnał, iż „legacy edge” staje się ryzykiem nieakceptowalnym.

Źródła / bibliografia

1. Dark Reading – „Threat Actors Exploit Zero-Day in WatchGuard Firebox Devices” (22.12.2025). (Dark Reading)
2. WatchGuard PSIRT – WGSA-2025-00027 (advisory, aktualizacje m.in. 23.12.2025). (watchguard.com)
3. WatchGuard Blog – „Immediate Action Required – Update Your Firebox Now” (18.12.2025). (watchguard.com)
4. NVD (NIST) – CVE-2025-14733 (metryki CVSS, status i kontekst KEV). (NVD)
5. NCSC New Zealand – alert „CVE-2025-14733 affecting Watchguard Fireware OS” (23.12.2025). (NCSC NZ)