В Банке данных угроз безопасности информации (BDU) подтвердили наличие критической уязвимости в операционной системе Fireware OS, используемой в сетевых экранах компании WatchGuard. Проблема, получившая идентификатор BDU:2025-16142 и сопоставленная с CVE-2025-14733, затрагивает демон "iked", отвечающий за работу протокола IKEv2 для IPsec VPN. Уязвимость связана с записью за границами буфера (CWE-787) и позволяет удаленному злоумышленнику выполнить произвольный код на атакуемом устройстве, что потенциально ведет к полному захвату контроля.
Детали уязвимости
Важно отметить, что согласно данным BDU, для данной уязвимости уже существует работающий эксплойт. Следовательно, угроза носит не теоретический, а практический характер. При этом уязвимость затрагивает широкий спектр версий Fireware OS, включая как актуальные ветки 2025.1 и 12.x, так и более старые, вплоть до 11.10.2. Таким образом, под угрозой могут оказаться тысячи устройств по всему миру, используемые для защиты корпоративных сетей.
Оценка по системе CVSS (Common Vulnerability Scoring System) подчеркивает критичность ситуации. Баллы достигают максимума: 10.0 по CVSS 2.0, 9.8 по CVSS 3.1 и 9.3 по CVSS 4.0. Все три оценки присваивают уязвимости критический уровень опасности. Ключевые векторы атаки (AV:N - через сеть, AC:L - низкая сложность атаки, PR:N - не требуются привилегии) указывают на простоту эксплуатации извне без необходимости предварительной аутентификации.
Производитель, WatchGuard Technologies Inc., уже подтвердил проблему и выпустил официальное исправление. В своем бюллетене безопасности WGSA-2025-00027 компания предоставила патчи для всех уязвимых версий. Следовательно, основным и самым эффективным способом устранения угрозы является немедленное обновление программного обеспечения до исправленных версий. Эксперты единодушно рекомендуют администраторам приоритезировать эту задачу.
Однако в рекомендациях BDU содержится важная оговорка, связанная с текущей геополитической обстановкой. Ведомство советует российским организациям устанавливать обновления только после тщательной оценки всех сопутствующих рисков, учитывая введенные санкции. Этот пункт добавляет сложности процессу исправления для отечественных пользователей продукции WatchGuard.
Параллельно с установкой обновлений специалисты по кибербезопасности рекомендуют применять комплекс компенсирующих мер. Во-первых, следует максимально ограничить удаленный доступ к интерфейсам управления сетевыми экранами из интернета. Во-вторых, необходимо задействовать средства межсетевого экранирования для фильтрации трафика, направленного на уязвимые службы. Кроме того, эффективным может быть использование систем обнаружения и предотвращения вторжений (IDS/IPS) для мониторинга сетевой активности на предмет индикаторов компрометации, связанных с попытками эксплуатации этой уязвимости.
С технической точки зрения, уязвимость относится к классу ошибок записи за границами буфера. Подобные уязвимости возникают, когда процесс, в данном случае демон "iked", записывает данные в область памяти за пределами выделенного для него буфера. В результате злоумышленник может манипулировать структурами данных в памяти, чтобы перезаписать критически важные участки и перенаправить выполнение кода на свой вредоносную полезную нагрузку. Успешная атака позволяет получить контроль над устройством, что открывает путь для установки "persistence" (механизма постоянства), кражи конфиденциальных данных или использования устройства как плацдарма для атак во внутренней сети.
Обнаружение подобной критической уязвимости в столь важном сетевом компоненте, как VPN-шлюз, служит серьезным напоминанием для всех организаций. Оно подчеркивает необходимость поддержания строгого и оперативного цикла управления обновлениями безопасности для всего парка сетевого оборудования. Особенно это касается периметровых устройств, которые являются первой линией обороны. Регулярный мониторинг источников, таких как BDU и бюллетени производителей, становится не просто рекомендацией, а обязательной практикой для сотрудников SOC (Security Operations Center).
В текущей ситуации администраторам сетей, использующих WatchGuard Firebox, следует незамедлительно свериться со списком уязвимых версий и запланировать применение исправлений в ближайшее возможное окно обслуживания. Одновременно с этим важно усилить мониторинг сетевой активности, обращая особое внимание на нестандартные соединения к портам, связанным с службой IKE. Своевременное реагирование на подобные инциденты является ключевым фактором в предотвращении масштабных киберинцидентов.
Ссылки
- https://bdu.fstec.ru/vul/2025-16142
- https://www.cve.org/CVERecord?id=CVE-2025-14733
- https://www.watchguard.com/wgrd-psirt/advisory/wgsa-2025-00027
