CVE-2025-14733

WatchGuard Firebox

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2025-12-19

Официальное описание

WatchGuard Fireware OS iked process contains an out of bounds write vulnerability in the OS iked process. This vulnerability may allow a remote unauthenticated attacker to execute arbitrary code and affects both the mobile user VPN with IKEv2 and the branch office VPN using IKEv2 when configured with a dynamic gateway peer.

🛡️
Технический анализ и план устранения

Суть уязвимости

Уязвимость CVE-2025-14733 представляет собой критическую ошибку записи за пределами выделенного буфера (Out-of-Bounds Write) в процессе iked операционной системы WatchGuard Fireware OS.

  • Вектор атаки: Удаленный, не требует аутентификации.
  • Последствия: Успешная эксплуатация позволяет злоумышленнику выполнить произвольный код (RCE) на устройстве Firebox, что может привести к полной компрометации межсетевого экрана и проникновению во внутреннюю сеть.
  • Уязвимые компоненты: Уязвимость затрагивает службы, использующие протокол IKEv2: Mobile User VPN (IKEv2) и Branch Office VPN (BOVPN) при конфигурации с динамическими шлюзами (dynamic gateway peer).

Как исправить

Единственным гарантированным способом устранения уязвимости является обновление прошивки Fireware OS до версии, в которой производитель закрыл данную брешь.

  • Создайте полную резервную копию конфигурации (Backup Image) вашего устройства Firebox.
  • Авторизуйтесь на портале WatchGuard и скачайте актуальную версию Fireware OS, содержащую патч для CVE-2025-14733.
  • Перейдите в Web UI устройства (System -> Upgrade OS) или используйте WatchGuard Policy Manager для загрузки и установки обновления.
  • Дождитесь штатной перезагрузки устройства.
  • Проверьте текущую версию системы через интерфейс командной строки (CLI) WatchGuard, чтобы убедиться в успешном обновлении:
show sysinfo

Временные меры

Если немедленная установка обновления невозможна, необходимо срочно применить компенсирующие меры для защиты периметра:

  • Миграция на SSL VPN: Временно отключите службу Mobile User VPN with IKEv2. Переведите удаленных сотрудников на использование Mobile VPN with SSL, который не подвержен данной уязвимости.
  • Отказ от динамических пиров: Для туннелей Branch Office VPN (BOVPN), использующих IKEv2, временно откажитесь от конфигурации с динамическими шлюзами. Перенастройте туннели на использование строго статических IP-адресов (Static IP peers).
  • Ограничение доступа (Allow-listing): Настройте политики Firebox таким образом, чтобы порты UDP 500 (IKE) и UDP 4500 (NAT-T) были доступны только для доверенных внешних IP-адресов (например, статических адресов филиалов).
  • Аудит доступности: Проверьте снаружи, открыты ли порты IKEv2 для всего интернета, используя внешний сканер. Пример команды для проверки:
nmap -sU -p 500,4500 -Pn <IP_адрес_Firebox>
  • Мониторинг логов: Настройте отправку логов на SIEM-систему и отслеживайте события, связанные с аварийным завершением или перезапуском процесса iked, что может быть индикатором попытки эксплуатации (Crash dumps).
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей