Stampa

CVE-2025-14733 su WatchGuard: exploit attivi bucano VPN IKEv2 e aprono la rete, patch urgente

Una vulnerabilita critica in WatchGuard Fireware OS sta attirando grande attenzione nel mondo della sicurezza informatica perche risulta gia sfruttata attivamente in attacchi reali. Il problema, identificato come CVE 2025 14733 con punteggio CVSS 9.3, riguarda un errore di tipo out of bounds write nel processo iked. In termini pratici, un attaccante remoto non autenticato potrebbe riuscire a eseguire codice arbitrario, trasformando un dispositivo perimetrale in un punto di ingresso per la rete aziendale.

La falla impatta scenari VPN basati su IKEv2, sia per la mobile user VPN con IKEv2 sia per la branch office VPN con IKEv2 quando e configurata con un dynamic gateway peer. Un aspetto delicato e che alcuni dispositivi potrebbero restare esposti anche dopo aver eliminato configurazioni precedenti: se in passato era stata impostata una VPN IKEv2 con peer dinamico e poi rimossa, il sistema potrebbe risultare ancora vulnerabile in presenza di una branch office VPN con peer statico ancora attiva. Questo rende fondamentale verificare la storia di configurazione oltre allo stato attuale.

Le versioni interessate includono Fireware OS 2025.1 corretto in 2025.1.4, la serie 12.x corretta in 12.11.6, la 12.5.x per modelli T15 e T35 corretta in 12.5.15 e la release 12.3.1 FIPS corretta in 12.3.1 Update4. La serie 11.x e indicata come end of life, quindi non piu supportata con patch.

Sono stati osservati tentativi di sfruttamento provenienti da specifici indirizzi IP, e WatchGuard ha condiviso indicatori di compromissione utili per il monitoraggio. Tra i segnali piu rilevanti compaiono messaggi di log relativi a catene di certificati superiori a 8 elementi, richieste IKE AUTH con payload CERT anormalmente grande oltre 2000 byte, blocchi del processo iked con interruzione delle connessioni VPN e crash del processo con generazione di fault report sul Firebox.

Mitigazione temporanea (in attesa dell aggiornamento)
  • Disabilitare i dynamic peer BOVPN.
  • Creare alias con gli IP statici dei peer remoti.
  • Aggiungere policy firewall che consentano accesso dall alias.
  • Disabilitare le policy predefinite che gestiscono il traffico VPN.
, , , , ,