A WatchGuard lançou correções para uma falha crítica no Fireware OS que já está sendo explorada em ataques reais.
Identificada como
CVE-2025-14733
, com pontuação CVSS 9,3, a vulnerabilidade ocorre devido a um out-of-bounds write no processo iked.
Isso permite que um invasor remoto não autenticado execute código arbitrário no sistema.
Segundo comunicado da empresa, a falha afeta tanto o VPN para usuários móveis com IKEv2 quanto o VPN de filiais (branch office VPN) configurado com IKEv2 e peer gateway dinâmico.
Além disso, mesmo se essas configurações forem removidas, um Firebox pode continuar vulnerável caso haja uma VPN de filiais com peer gateway estático ativa.
As versões afetadas do Fireware OS são:
- 2025.1 (corrigida na 2025.1.4)
- 12.x (corrigida na 12.11.6)
- 12.5.x (modelos T15 e T35, corrigida na 12.5.15)
- 12.3.1 (versão certificada FIPS, corrigida na 12.3.1_Update4)
- 11.x (de 11.10.2 até 11.12.4_Update1) — já no fim do ciclo de vida (End-of-Life)
A WatchGuard confirmou que invasores estão tentando explorar ativamente essa falha, utilizando os seguintes endereços IP:
- 45.95.19[.]50
- 51.15.17[.]89
- 172.93.107[.]67
- 199.247.7[.]82
Curiosamente, o IP 199.247.7[.]82 também foi citado esta semana pela empresa Arctic Wolf como relacionado à exploração recente de outras duas vulnerabilidades críticas em produtos Fortinet, com CVSS 9,8.
Para auxiliar na detecção de possíveis ataques, a WatchGuard indicou alguns sinais de comprometimento (IoCs), como:
- Mensagem de log “Received peer certificate chain is longer than 8.
Reject this certificate chain” ao receber um payload IKE2 Auth com mais de oito certificados
- Mensagem de log IKE_AUTH com payload CERT incomumente grande (mais de 2.000 bytes)
- Bloqueio do processo iked durante um exploit bem-sucedido, interrompendo conexões VPN
- Falha e geração de relatório de erro no processo iked após tentativas de exploit, sejam elas bem-sucedidas ou não
Essa divulgação ocorre pouco mais de um mês depois da CISA (Cybersecurity and Infrastructure Security Agency) dos EUA incluir outra vulnerabilidade crítica do Fireware OS (
CVE-2025-9242
, CVSS 9,3) no catálogo Known Exploited Vulnerabilities (KEV), também com relatos de exploração ativa.
Ainda não está claro se os ataques recentes estão relacionados, mas é fortemente recomendada a aplicação imediata das atualizações para proteger os dispositivos.
Como medida temporária, a WatchGuard orienta os administradores a desativar configurações de VPN dinâmicas para filiais, criar aliases com os IPs estáticos dos peers remotos, configurar novas políticas de firewall para permitir acesso a esses aliases e desativar as políticas padrão que gerenciam o tráfego VPN.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...