CVE-2025-14733 취약점: WatchGuard, 현실 세계 공격에서 적극적으로 악용된 Firebox 방화벽에 영향을 미치는 중요한 RCE 해결

크리스마스 며칠 전, 또 다른 심각한 취약점이 발생했으며, 최근에 Cisco AsyncOS(CVE-2025-20393)와 Apple WebKit(CVE-2025-14174)의 제로데이 공격과 함께 적극적으로 악용되는 결함의 급증이 계속되고 있습니다. WatchGuard는 Fireware OS에 영향을 미치는 중요한 보안 문제를 공개하고 해결했으며, 이를 Firebox 방화벽을 타겟으로 한 실제 공격에서 이미 활용되었음을 확인했습니다.CVE-2025-20393)와 Apple WebKit (CVE-2025-14174)의 제로데이 공격과 함께 적극적으로 악용되는 결함의 급증이 계속되고 있습니다. WatchGuard는 Fireware OS에 영향을 미치는 중요한 보안 문제를 공개하고 해결했으며, 이를 Firebox 방화벽을 타겟으로 한 실제 공격에서 이미 활용되었음을 확인했습니다.

CVE-2025-14733로 식별되며 CVSS 점수가 9.3인 이 취약점은 iked 프로세스의 경계를 벗어난 쓰기 상태에서 발생합니다. 성공적인 익스플로잇은 인증되지 않은 원격 공격자가 사용자 상호작용이 필요 없는 낮은 복잡도의 공격을 통해 임의 코드를 실행할 수 있게 합니다.

Shadowserver에서 수행한 인터넷 스캔 결과, 12월 21일 기준 117,490개 이상의 노출된 패치되지 않은 Firebox 장치를 식별했습니다 12월 21일 기준 117,490개 이상의 노출된 패치되지 않은 Firebox 장치를 식별했습니다 미국 사이버 보안 및 인프라 보안국(CISA)은 keV 카탈로그에 이 취약점을 추가하여, 그 활성 남용과 위험을 강조하였으며 연방 기업에 매우 높은 위험을 제기한다고 밝혔습니다.

SOC Prime 플랫폼 가입하기세계 최대 탐지 인텔리전스 데이터셋이 있는 곳으로, 위협 탐지부터 시뮬레이션까지 엔드투엔드 파이프라인을 제공하여 SOC 역량을 높이고 APT, 익스플로잇 캠페인, 첨단 사이버 위협에 대해 적극적으로 방어할 수 있습니다. 탐지 항목 탐색버튼을 눌러 취약점 익스플로잇에 대응하는 규칙들을 CVE 태그에 따라 필터링한 컨텍스트가 풍부한 규칙 컬렉션에 액세스하세요.

탐지 항목 탐색

모든 규칙은 여러 SIEM, EDR 및 데이터 레이크 형식과 호환되며 MITRE ATT&CK® v18.1 프레임워크에 매핑되었습니다. 또한, 각 규칙은 CTI 링크, 공격 타임라인, 감사 구성, 대응 추천 등 더 많은 관련 컨텍스트로 풍부화되어 있습니다.

보안 엔지니어는 또한 Uncoder AI에서 탐지 엔지니어링을 위한 IDE 및 코파일러를 사용할 수 있습니다. Uncoder를 사용하면 방어자는 IOCs를 즉시 맞춤형 추적 쿼리로 변환하고, 원시 위협 보고서에서 탐지 코드를 작성하며, 공격 흐름 다이어그램을 생성하고, ATT&CK 태그 예측을 활성화하고, AI 기반 쿼리 최적화를 활용하고, 여러 플랫폼 간 탐지 콘텐츠를 번역할 수 있습니다.

CVE-2025-14733 분석

WatchGuard는 최근 Fireware OS에서 발생하는 치명적인 아웃오브바운즈 쓰기(out-of-bounds write) 취약점을 공개했으며, 해당 취약점은 CVE-2025-14733으로 추적됩니다. 이 취약점은 iked 프로세스에 영향을 미치며, 원격의 인증되지 않은 공격자가 임의 코드를 실행할 수 있도록 허용할 수 있습니다. 해당 결함은 IKEv2 기반 Mobile User VPN 및 Branch Office VPN 환경에 영향을 미치며, 특히 동적 게이트웨이 피어로 구성된 경우 위험이 더욱 커집니다. 보다 구체적으로, 여러 Fireware OS 버전이 영향을 받으며, 2025.1.4, 12.11.6, 12.5.15(T15/T35), 12.3.1_Update4(FIPS) 버전에서 문제가 해결되었습니다. 반면 11.x 버전은 지원 종료(EOL) 상태입니다. 또한 영향을 받는 VPN 구성이 이전에 제거되었더라도, 정적 BOVPN 구성이 남아 있는 경우 Firebox 장비는 여전히 취약할 수 있습니다.

WatchGuard는 해당 취약점이 실제 공격 환경에서 활발히 악용되고 있음을 확인했습니다. 공격자들은 CVE-2025-14733을 무기화해 여러 벤더의 엣지 네트워크 장비와 외부에 노출된 인프라를 노리는 광범위한 공격 캠페인의 일부로 활용하고 있습니다.

지원되는 Fireware OS 버전에 대한 보안 수정 사항이 제공되고 있으며, 11.x 버전은 이미 지원이 종료되었습니다. WatchGuard는 또한 공격 징후(Indicators of Attack, IoAs)를 공개해 악용 시도를 식별할 수 있도록 했습니다. 다음 IP 주소로의 아웃바운드 연결은 강력한 침해 지표로 간주되며, 인바운드 연결은 스캐닝 또는 악용 활동을 시사할 수 있습니다: 45.95.19[.]50, 51.15.17[.]89, 172.93.107[.]67, 199.247.7[.]82. 추가적인 지표로는 비정상적으로 큰 IKE_AUTH CERT 페이로드, 인증서 체인이 8개를 초과한다는 로그 메시지, 그리고 iked 프로세스의 크래시 또는 중단 현상이 포함됩니다. CVE-2025-14733에 대한 잠재적 완화 조치로, 고객은 즉시 업데이트를 적용하거나 취약한 BOVPN 구성에 대해 WatchGuard가 권장하는 임시 보호 조치를 따를 것을 강력히 권고받고 있습니다.

CVE 악용 활동이 증가하고 연방 기관 및 고가치 표적에 대한 위험이 확대됨에 따라, 보안 담당자는 잠재적 영향을 최소화하기 위해 신속한 대응이 필수적입니다. 조직은 SOC Prime의 AI 네이티브 Detection Intelligence Platform을 활용해 실시간 방어 체계를 구축할 수 있으며, 탐지에서 시뮬레이션까지 자동화된 워크플로를 원활하게 구현하고, 방대한 큐레이션된 탐지 규칙, 실행 가능한 인텔리전스, AI 기반 분석을 통해 치명적인 위협에 항상 앞서 대응할 수 있습니다.