CVE-2025-14733 脆弱性：WatchGuard、現実世界の攻撃で積極的に悪用されているFireboxファイアウォールに影響する重大なRCEに対処

クリスマスを目前にして、さらに多くの重大な脆弱性が現れ、Cisco AsyncOS（CVE-2025-20393）とApple WebKit（CVE-2025-14174）の最近のゼロデイに加え、活発に悪用されている欠陥の増加が続いています。WatchGuardは、Fireboxファイアウォールを標的とした実際の攻撃で既に利用されている、Fireware OSに影響を与える重大なセキュリティ問題を開示し、対処しました。

CVE-2025-14733として識別され、CVSSスコア9.3を持つこの脆弱性は、ikedプロセスの範囲外書き込み状態に起因しています。成功することで、認証されていないリモート攻撃者がユーザーの操作を必要としない低複雑な攻撃を通じて任意のコードを実行することができます。

Shadowserverによるインターネットスキャンでは、2025年12月21日時点で117,490台以上の未修正・公開状態のFireboxデバイスが特定され、潜在的影響の規模が明らかになりました。米国サイバーセキュリティ・インフラセキュリティ庁（CISA）は、この脆弱性をKnown Exploited Vulnerabilities (KEV) カタログに追加し、実際に悪用されていることと、企業環境へのリスクの高さを強調しています。この種の脆弱性は攻撃者に狙われやすく、連邦機関を含む組織に対して高いリスクをもたらします。

SOC Primeプラットフォームに参加し、世界最大のDetection Intelligenceデータセットを活用してください。脅威検知からシミュレーションまでのエンドツーエンドのパイプラインを提供し、SOCの能力を向上させ、APTや攻撃キャンペーン、あらゆる規模・複雑さのサイバー脅威に対して積極的に防御できます。検出を探索を押すと、関連するCVEタグでフィルタリングされた、脆弱性悪用に対応したコンテキスト豊富なルールセットにアクセスできます。

検出を探索

すべてのルールは複数のSIEM、EDR、およびデータレイク形式と互換性があり、 MITRE ATT&CK® v18.1フレームワークにマッピングされています。さらに、各ルールには CTI リンク、攻撃のタイムライン、監査設定、トリアージの推奨事項、その他の関連するコンテキストが加えられています。

セキュリティエンジニアはまた、 Uncoder AI、検出エンジニアリングのためのIDEと共同パイロットを活用できます。Uncoderを使用することで、防御者はIOCをカスタムハンティングクエリに即座に変換し、生の脅威レポートから検出コードを作成し、Attack Flowの図を生成し、ATT&CKタグの予測を可能にし、AI駆動のクエリ最適化を利用し、複数のプラットフォームで検出コンテンツを翻訳できます。

CVE-2025-14733の分析

WatchGuardは最近、Fireware OSで特定された重大な範囲外書き込みの脆弱性を開示し、 これが追跡されたCVE-2025-14733として 、, affecting the iked プロセスに影響を及ぼし、リモートで認証されていない攻撃者が任意のコードを実行する可能性があります。この欠陥は、特に動的ゲートウェイピアで構成されたIKEv2ベースのモバイルユーザーVPNと支店間オフィスVPNに影響します。より具体的には、多くのFireware OSリリースに影響を及ぼし、2025.1.4、12.11.6、12.5.15（T15/T35）、12.3.1_Update4（FIPS）で解決されていますが、11.xリリースはEOLです。Fireboxは、影響を受けたVPN構成が以前に削除されていても、静的な BOVPN がまだ構成されている限り、脆弱なままである可能性があります。

WatchGuardは、この脆弱性が野生で活発に悪用されていることを確認しました。攻撃者たちは、複数のベンダーに跨るエッジネットワーキングデバイスおよび露出したインフラを標的にする広範なキャンペーンの一環として、CVE-2025-14733を積極的に兵器化しています。

修正はサポートされているFireware OSバージョンで利用可能ですが、11.xリリースはEOLです。同社はまた、攻撃試行を識別するための攻撃の指標（IoA）を共有しました。次のIPアドレスへのアウトバウンド接続は強い侵害のインジケータとみなされ、インバウンド接続はスキャンまたは悪用活動を示している可能性があります：45.95.19[.]50、51.15.17[.]89、172.93.107[.]67、199.247.7[.]82。追加のインジケータには、オーバーサイズの IKE_AUTH CERT ペイロード、8つ以上のエントリを持つ証明書チェーンに関するログメッセージ、およびikedプロセスのクラッシュやハングがあります。 CVE-2025-14733の緩和策として、顧客は直ちにアップデートを適用するか、脆弱な BOVPN 構成のためにWatchGuardの推奨する一時的な保護策に従うよう強く勧められています。

CVEの悪用活動が増加し、連邦や高価値ターゲットへのリスクが高まる中、防御者は潜在的な影響を最小限に抑えるために迅速に対応しなければなりません。組織は SOC PrimeのAIネイティブの検出インテリジェンスプラットフォーム を活用してリアルタイムの防御を実現し、検出からシミュレーションまでの自動化ワークフローをスムーズに実装し、常に豊富な検出ルールのライブラリ、実用的なインテリジェンス、AIに裏打ちされた重要な脅威に先んじておくことができます。