Vulnerabilità CVE-2025-14733: WatchGuard Risolve una Critica RCE che Colpisce i Firewall Firebox, Attivamente Sfruttata per Attacchi nel Mondo Reale
Appena pochi giorni prima di Natale, è emersa un’altra vulnerabilità critica, continuando un’ondata di falle sfruttate attivamente assieme ai recenti zero-day in Cisco AsyncOS (CVE-2025-20393) e Apple WebKit (CVE-2025-14174). WatchGuard ha divulgato e affrontato un problema di sicurezza critico che interessa Fireware OS, confermando che è già stato sfruttato in attacchi reali mirati ai firewall Firebox.
Identificata come CVE-2025-14733 con un punteggio CVSS di 9.3, la vulnerabilità deriva da una condizione di scrittura fuori dai limiti nel processo iked. Uno sfruttamento riuscito consente ad attaccanti remoti non autenticati di eseguire codice arbitrario tramite attacchi a bassa complessità che non richiedono interazione dell’utente.
Scansioni Internet condotte da Shadowserver hanno identificato oltre 117.490 dispositivi Firebox esposti e non patchati al 21 dicembre, sottolineando la misura dell’impatto potenziale. L’Agenzia di sicurezza informatica e delle infrastrutture degli Stati Uniti (CISA) ha aggiunto la vulnerabilità al suo catalogo di Vulnerabilità Sfruttate Note (KEV), evidenziando il suo abuso attivo e il rischio per gli ambienti aziendali. Tali vulnerabilità sono un obiettivo comune per lo sfruttamento e pongono elevati rischi per le imprese federali.
Unisciti alla SOC Prime Platform, casa del più grande dataset di Detection Intelligence del mondo, offrendo un flusso continuo dalla rilevazione delle minacce alla simulazione per migliorare le capacità del tuo SOC e difenderti proattivamente dagli APT, campagne di sfruttamento e minacce informatiche di qualsiasi raffinatezza. Premi Esplora le Regole per accedere a una collezione arricchita di regole che affrontano lo sfruttamento delle vulnerabilità, filtrate dal tag CVE rilevante.
Tutte le regole sono compatibili con formati multipli di SIEM, EDR e Data Lake e mappate al quadro MITRE ATT&CK® v18.1. Inoltre, ogni regola è arricchita con CTI link, cronologie degli attacchi, configurazioni di audit, raccomandazioni per il triage, e altro contesto rilevante.
Gli ingegneri della sicurezza possono anche sfruttare Uncoder AI, un IDE e co-pilota per l’ingegneria della rilevazione. Con Uncoder, i difensori possono convertire istantaneamente IOC in query di ricerca personalizzate, creare codice di rilevazione da rapporti di minacce grezze, generare diagrammi di Attack Flow, abilitare la previsione dei tag ATT&CK, sfruttare l’ottimizzazione delle query guidata dall’AI e tradurre contenuti di rilevazione su più piattaforme.
Analisi CVE-2025-14733
WatchGuard ha recentemente divulgato una vulnerabilità critica di scrittura fuori dai limiti in Fireware OS identificata come CVE-2025-14733, che riguarda il processo iked , che può consentire a un attaccante remoto non autenticato di eseguire codice arbitrario. La falla impatta le VPN per Utente Mobile basate su IKEv2 e le VPN per Uffici Filiali, specialmente quando configurate con peer di gateway dinamici. Più specificamente, la falla interessa diverse versioni di Fireware OS e viene risolta nelle versioni 2025.1.4, 12.11.6, 12.5.15 (T15/T35) e 12.3.1_Update4 (FIPS), mentre le versioni 11.x sono a fine vita. I Firebox potrebbero rimanere vulnerabili anche se le configurazioni VPN interessate sono state precedentemente rimosse, fintanto che un BOVPN statico è ancora configurato.
WatchGuard ha confermato che la vulnerabilità viene attivamente sfruttata in natura. Gli avversari stanno attivamente utilizzando CVE-2025-14733 come parte di una campagna più ampia volta a colpire dispositivi di rete esterna e infrastrutture esposte di più fornitori.
Sono disponibili correzioni per le versioni supportate di Fireware OS, mentre le versioni 11.x sono a fine vita. L’azienda ha anche condiviso Indicatori di Attacco (IoA) per aiutare a identificare tentativi di sfruttamento. Le connessioni in uscita verso i seguenti indirizzi IP sono considerate un forte indicatore di compromissione, mentre le connessioni in entrata possono segnalare attività di scansione o sfruttamento: 45.95.19[.]50, 51.15.17[.]89, 172.93.107[.]67, 199.247.7[.]82. Altri indicatori includono payload IKE_AUTH CERT sovradimensionati, messaggi di registro su catene di certificati più lunghe di otto voci, e crash o blocchi del processo iked. Come possibili misure di mitigazione CVE-2025-14733, i clienti sono fortemente invitati ad applicare gli aggiornamenti immediatamente o a seguire le misure di salvaguardia temporanee raccomandate da WatchGuard per le BOVPN statico configurazioni vulnerabili.
Con l’aumento dell’attività di sfruttamento del CVE e l’escalation dei rischi per gli obiettivi federali e di alto valore, i difensori devono rispondere rapidamente per minimizzare l’impatto potenziale. Le organizzazioni possono sfruttare la Piattaforma di Detection Intelligence AI-native di SOC Prime per una difesa in tempo reale, aiutandole a implementare facilmente workflow automatizzati dalla rilevazione alla simulazione e restare sempre un passo avanti alle minacce critiche supportate da un ampio archivio di regole di rilevazione curate, intelligence azionabile e AI.
