WatchGuard a averti ses clients de corriger une vulnérabilité critique d’exécution de code à distance (RCE) activement exploitée dans ses pare-feu Firebox.
Répertoriée sous le numéro CVE-2025-14733, cette faille de sécurité affecte les pare-feu exécutant Fireware OS 11.x et versions ultérieures (y compris 11.12. 4_mise à jour 1), 12.x ou version ultérieure (y compris 12.11.5), et 2025.1 jusqu’à et y compris 2025.1.3.
La vulnérabilité est due à une faiblesse d’écriture hors limites qui permet aux attaquants non authentifiés d’exécuter du code malveillant à distance sur des appareils non corrigés, après une exploitation réussie dans des attaques de faible complexité qui ne nécessitent aucune interaction de l’utilisateur.
Alors que les pare-feu Firebox non corrigés ne sont vulnérables aux attaques que s’ils sont configurés pour utiliser le VPN IKEv2, WatchGuard a noté qu’ils pourraient toujours être compromis, même si les configurations vulnérables ont été supprimées, si un VPN de succursale vers un homologue de passerelle statique est toujours configuré.
« Si le Firebox était précédemment configuré avec le VPN pour utilisateur mobile avec IKEv2 ou un VPN de succursale utilisant IKEv2 vers un homologue de passerelle dynamique, et que ces deux configurations ont depuis été supprimées, ce Firebox peut toujours être vulnérable si un VPN de succursale vers un homologue de passerelle statique est toujours configuré », a expliqué WatchGuard dans un avis publié jeudi.
« WatchGuard a observé des acteurs de la menace tentant activement d’exploiter cette vulnérabilité dans la nature », a averti la société.
La société a également fourni une solution de contournement temporaire pour les organisations qui ne peuvent pas immédiatement patcher les appareils avec des configurations VPN de succursale vulnérables (BOVPN), obligeant les administrateurs à désactiver les BOVPN homologues dynamiques, à ajouter de nouvelles stratégies de pare-feu et à désactiver les stratégies système par défaut qui gèrent le trafic VPN.
| Branche de Produit | Modèles de pare-feu vulnérables |
|---|---|
| Fireware OS 12.5.x | T15, T35 |
| Fireware OS 2025.1.x | T115-W, T125, T125-W, T145, T145-W, T185 |
| Fireware OS 12.x | T20, T25, T40, T45, T55, T70, T80, T85, M270, M290, M370, M390, M470, M570, M590, M670, M690, M440, M4600, M4800, M5600, M5800, Firebox Cloud, Firebox NV5, FireboxV |
WatchGuard a partagé des indicateurs de compromission pour aider les clients à vérifier si leurs appareils Firebox ont été compromis, et a conseillé à ceux qui détectent des signes d’activité malveillante de faire pivoter tous les secrets stockés localement sur les appliances vulnérables.
En septembre, WatchGuard a corrigé une autre vulnérabilité (presque identique) d’exécution de code à distance affectant ses pare-feu Firebox (CVE-2025-9242). Un mois plus tard, le chien de garde Internet Shadowserver a découvert que plus de 75 000 pare-feu Firebox étaient vulnérables aux attaques CVE-2025-9242, la plupart en Amérique du Nord et en Europe.
Après trois semaines, la Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis a identifié la vulnérabilité comme étant activement exploitée dans la nature et a ordonné aux agences fédérales de sécuriser leurs pare-feu WatchGuard Firebox contre les attaques en cours.
Il y a deux ans, CISA a ordonné aux agences gouvernementales américaines de corriger une autre faille WatchGuard activement exploitée (CVE-2022-23176) affectant les appliances Firebox et pare-feu XTM.
WatchGuard s’associe à plus de 17 000 fournisseurs de services et revendeurs de solutions de sécurité pour protéger les réseaux de plus de 250 000 petites et moyennes entreprises dans le monde entier.