19.12.2025
1 хв
444
Понад 115 000 фаєрволів WatchGuard Firebox, доступних з інтернету, залишаються вразливими до критичної помилки віддаленого виконання коду (RCE), яка вже активно використовується зловмисниками. Уразливість дозволяє атакувати пристрої без автентифікації та взаємодії з користувачем.
Вразливість відстежується як CVE-2025-14733 і зачіпає фаєрволи WatchGuard Firebox під керуванням Fireware OS версій 11.x, 12.x та 2025.1 включно. Успішна експлуатація дозволяє віддаленому неавтентифікованому атакувальнику виконувати довільний код на пристрої, що відкриває повний контроль над мережевим периметром організації.
За даними WatchGuard, атака можлива за умови активованого IKEv2 VPN. Особливо небезпечною є конфігурація з динамічними BOVPN-піра́ми, оскільки навіть після часткового вимкнення VPN фаєрвол може залишатися уразливим. Уразливість пов’язана з помилкою запису за межі буфера в процесі iked, що обробляє VPN-з’єднання.
Аналітики Shadowserver зафіксували понад 124 000 уразливих Firebox-пристроїв у мережі, з яких понад 117 000залишалися доступними онлайн навіть через кілька днів після виходу патчів.
WatchGuard випустила оновлення безпеки та опублікувала індикатори компрометації (IoC) для виявлення заражених пристроїв. Компанія рекомендує негайно змінити всі збережені облікові дані на фаєрволах, які могли бути скомпрометовані. Для організацій, що не можуть одразу встановити патчі, запропоновано тимчасові заходи: вимкнення динамічних BOVPN, зміна політик фаєрвола та блокування стандартних VPN-правил.
Агентство CISA додало CVE-2025-14733 до каталогу Known Exploited Vulnerabilities (KEV) та зобов’язало федеральні цивільні агентства США усунути вразливість протягом одного тижня відповідно до директиви BOD 22-01.
Ситуація з WatchGuard Firebox демонструє системний ризик, пов’язаний із VPN-компонентами мережевих пристроїв, які часто залишаються відкритими в інтернеті. Масова експлуатація таких вразливостей перетворює фаєрволи з елементів захисту на точки повного компромету мережі, особливо за відсутності оперативного патч-менеджменту.
