Компания WatchGuard выпустила экстренное предупреждение о критической уязвимости нулевого дня (zero-day) в своих межсетевых экранах Firebox. Уязвимость, получившая идентификатор CVE-2025-14733, активно эксплуатируется злоумышленниками в реальном мире. Она позволяет удалённым атакующим без какой-либо аутентификации захватить полный контроль над уязвимыми устройствами, что создает критическую угрозу для корпоративных периметров.
Описание
Техническая суть проблемы заключается в ошибке типа "запись за пределами буфера" (Out-of-bounds Write) в процессе "iked", который отвечает за обработку протокола IKEv2 для VPN-соединений. Уязвимость затрагивает устройства, сконфигурированные для мобильных VPN пользователей с IKEv2, а также для VPN между филиалами с использованием IKEv2 и динамическим шлюзом. Эксплуатация уязвимости через специально сформированный запрос приводит к повреждению памяти и позволяет злоумышленнику выполнить произвольный код (Remote Code Execution). Фактически, это дает полный административный доступ к межсетевому экрану для запуска вредоносных команд или установки программного обеспечения.
Важно отметить, что уязвимость может сохраняться даже после удаления конфигураций мобильного или динамического VPN, если на устройстве остаётся настроенный VPN к статическому шлюзу филиала. Угроза признана критической, её уровень опасности по шкале CVSS составляет 9.3 балла. WatchGuard подтверждает активные попытки эксплуатации в дикой среде.
Для выявления потенциальных атак администраторам необходимо немедленно проверить логи устройств. Ключевыми индикаторами компрометации являются сбои или зависания процесса "iked". Кроме того, следует обратить внимание на специфические записи в журналах. Сообщения об "Invalid peer certificate chain" или "Abnormally large IKE_AUTH request CERT payload" (размер полезной нагрузки CERT более 2000 байт) являются сигналами атаки.
Известная вредоносная активность исходит со следующих IP-адресов: 45.95.19[.]50, 51.15.17[.]89, 172.93.107[.]67 и 199.247.7[.]82. Обнаружение сетевого трафика с этих адресов должно рассматриваться как прямой индикатор атаки.
В качестве срочного решения проблемы WatchGuard выпустила обновления программного обеспечения Fireware OS. Администраторам необходимо немедленно обновить устройства до версий 2025.1.4, 12.11.6 или 12.5.15 в зависимости от серии продукта. Уязвимость затрагивает широкий спектр версий, начиная с Fireware OS 11.10.2 и заканчивая 2025.1.3. Для устаревшей линейки 11.x, достигшей конца жизненного цикла, патч не предоставляется, что требует особого внимания.
Если существует вероятность, что устройство было скомпрометировано, критически важно после установки обновления выполнить ротацию всех локально хранящихся секретов, включая ключи и сертификаты. Эта мера предосторожности описана в базе знаний WatchGuard. Для устройств, сконфигурированных только для VPN со статическими шлюзами и в случае невозможности немедленного обновления, компания предлагает временные рекомендации по обеспечению безопасного доступа.
Данный инцидент подчеркивает важность оперативного применения исправлений для критических компонентов сетевой инфраструктуры, особенно тех, что обеспечивают удалённый доступ. Эксплуатация уязвимостей в VPN-шлюзах остается излюбленной тактикой продвинутых групп угроз (APT). Следовательно, мониторинг журналов и быстрое реагирование на индикаторы компрометации являются необходимыми элементами защиты периметра в современных условиях.
Индикаторы компрометации
IPv4
- 172.93.107.67
- 199.247.7.82
- 45.95.19.50
- 51.15.17.89
