WatchGuard heeft oplossingen uitgebracht om een kritieke beveiligingsfout in Fireware OS aan te pakken, waarvan wordt gezegd dat deze wordt misbruikt bij aanvallen in de echte wereld.
Bijgehouden als CVE-2025-14733 (CVSS-score: 9,3), is het beveiligingslek beschreven als een geval van schrijven buiten het bereik dat het iked-proces beïnvloedt, waardoor een niet-geauthenticeerde aanvaller op afstand willekeurige code kan uitvoeren.
“Deze kwetsbaarheid treft zowel de mobiele gebruikers-VPN met IKEv2 als de VPN van filialen die IKEv2 gebruiken wanneer geconfigureerd met een dynamische gateway-peer”, aldus het bedrijf donderdag in een advies.
“Als de Firebox eerder was geconfigureerd met de mobiele gebruikers-VPN met IKEv2 of een VPN van een filiaal dat IKEv2 gebruikt voor een dynamische gateway-peer, en beide configuraties sindsdien zijn verwijderd, kan die Firebox nog steeds kwetsbaar zijn als een VPN van een filiaal naar een statische gateway-peer nog steeds is geconfigureerd.”
Het beveiligingslek heeft gevolgen voor de volgende versies van Fireware OS:
- 2025.1 – Vastgesteld in 2025.1.4
- 12.x – Opgelost in 12.11.6
- 12.5.x (T15- en T35-modellen) – Opgelost in 12.5.15
- 12.3.1 (FIPS-gecertificeerde release) – Opgelost in 12.3.1_Update4 (B728352)
- 11.x (11.10.2 tot en met 11.12.4_Update1) – Einde levensduur
WatchGuard erkende dat het bedreigingsactoren heeft waargenomen die actief proberen deze kwetsbaarheid in het wild te misbruiken, waarbij de aanvallen afkomstig zijn van de volgende IP-adressen:
Interessant is dat het IP-adres “199.247.7(.)82” eerder deze week ook door Arctic Wolf werd gemarkeerd als gekoppeld aan de exploitatie van twee onlangs bekendgemaakte beveiligingsproblemen in Fortinet FortiOS, FortiWeb, FortiProxy en FortiSwitchManager (CVE-2025-59718 en CVE-2025-59719, CVSS-scores: 9,8).
Het in Seattle gevestigde bedrijf heeft ook meerdere indicatoren van compromissen (IoC’s) gedeeld die eigenaren van apparaten kunnen gebruiken om te bepalen of hun eigen instanties zijn geïnfecteerd –
- Een logbericht met de melding “Ontvangen peer-certificaatketen is langer dan 8. Weiger deze certificaatketen” wanneer de Firebox een IKE2 Auth-payload ontvangt met meer dan 8 certificaten
- Een IKE_AUTH-verzoeklogboekbericht met een abnormaal grote CERT-payloadgrootte (groter dan 2000 bytes)
- Tijdens een succesvolle exploit blijft het iked-proces hangen, waardoor de VPN-verbindingen worden onderbroken
- Na een mislukte of succesvolle exploit crasht het IKED-proces en wordt er een foutrapport gegenereerd op de Firebox
De onthulling komt iets meer dan een maand nadat de Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) nog een kritieke WatchGuard Fireware OS-fout (CVE-2025-9242, CVSS-score: 9,3) heeft toegevoegd aan de Known Exploited Vulnerabilities (KEV)-catalogus na meldingen van actieve exploitatie.
Het is momenteel niet bekend of deze twee reeksen aanvallen met elkaar verband houden. Gebruikers wordt geadviseerd de updates zo snel mogelijk toe te passen om zich tegen de dreiging te beschermen.
Als tijdelijke oplossing voor apparaten met kwetsbare Branch Office VPN (BOVPN)-configuraties heeft het bedrijf er bij beheerders op aangedrongen dynamische peer-BOVPN’s uit te schakelen, een alias te maken die de statische IP-adressen van externe BOVPN-peers bevat, nieuw firewallbeleid toe te voegen dat toegang vanaf de alias toestaat, en het standaard ingebouwde beleid dat VPN-verkeer afhandelt, uit te schakelen.
