Vulnérabilité CVE-2025-14733 : WatchGuard Répond à une RCE Critique Affectant les Pare-feux Firebox, Exploitée Actuellement dans des Attaques Réelles
Juste avant Noël, une autre vulnérabilité critique est apparue, poursuivant une série de failles exploitées activement aux côtés des récents zero-days dans Cisco AsyncOS (CVE-2025-20393) et Apple WebKit (CVE-2025-14174). WatchGuard a divulgué et corrigé un problème de sécurité critique affectant Fireware OS, confirmant qu’il a déjà été utilisé dans des attaques réelles ciblant les pare-feux Firebox.
Identifiée comme CVE-2025-14733 avec un score CVSS de 9,3, la vulnérabilité provient d’une condition d’écriture hors limites dans le processus iked. Une exploitation réussie permet à des attaquants distants non authentifiés d’exécuter un code arbitraire via des attaques de faible complexité ne nécessitant aucune interaction de l’utilisateur.
Des analyses Internet menées par Shadowserver ont identifié plus de 117 490 appareils Firebox exposés et non patchés au 21 décembre, soulignant l’ampleur de l’impact potentiel. L’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) a ajouté la vulnérabilité à son catalogue de vulnérabilités exploitées connues (KEV), soulignant son exploitation active et le risque pour les environnements d’entreprise. De telles vulnérabilités sont une cible fréquente d’exploitation et posent des risques accrus aux entreprises fédérales.
Rejoignez la plateforme SOC Prime, abritant le plus grand ensemble mondial de données de détection d’intelligence, offrant un pipeline complet de la détection des menaces à la simulation pour améliorer vos capacités SOC et défendre de manière proactive contre les APT, les campagnes d’exploitation et les cybermenaces de toute sophistication. Appuyez sur Explorer les Détections pour accéder à une collection enrichie de règles abordant l’exploitation des vulnérabilités, filtrées par l’étiquette CVE pertinente.
Toutes les règles sont compatibles avec plusieurs formats SIEM, EDR et Data Lake et sont cartographiées au cadre MITRE ATT&CK® v18.1. De plus, chaque règle est enrichie avec CTI des liens, des chronologies d’attaques, des configurations d’audit, des recommandations de triage et plus de contexte pertinent.
Les ingénieurs en sécurité peuvent également tirer parti de Uncoder AI, un IDE et co-pilote pour l’ingénierie de détection. Avec Uncoder, les défenseurs peuvent instantanément convertir des IOCs en requêtes de chasse personnalisées, élaborer du code de détection à partir de rapports de menaces brutes, générer des diagrammes de flux d’attaque, activer la prédiction des balises ATT&CK, utiliser l’optimisation des requêtes alimentée par l’IA et traduire le contenu de détection sur plusieurs plateformes.
Analyse CVE-2025-14733
WatchGuard a récemment divulgué une vulnérabilité critique d’écriture hors limites dans Fireware OS identifiée comme CVE-2025-14733, affectant le processus iked , ce qui pourrait permettre à un attaquant distant et non authentifié d’exécuter du code arbitraire. La faille impacte les VPN utilisateurs mobiles basés sur IKEv2 et les VPN de bureau distant, en particulier lorsqu’ils sont configurés avec des pairs de passerelle dynamique. Plus précisément, la faille affecte plusieurs versions de Fireware OS et est résolue dans les versions 2025.1.4, 12.11.6, 12.5.15 (T15/T35) et 12.3.1_Update4 (FIPS), tandis que les versions 11.x sont en fin de vie. Les Fireboxes peuvent rester vulnérables même si les configurations VPN affectées ont été préalablement supprimées, tant qu’un BOVPN statique est toujours configuré.
WatchGuard a confirmé que la vulnérabilité est activement exploitée dans la nature. Les adversaires utilisent activement CVE-2025-14733 dans le cadre d’une campagne plus large ciblant les appareils de réseau en périphérie et l’infrastructure exposée de plusieurs fournisseurs.
Des correctifs sont disponibles pour les versions Fireware OS prises en charge, tandis que les versions 11.x sont en fin de vie. La société a également partagé des indicateurs d’attaque (IoAs) pour aider à identifier les tentatives d’exploitation. Les connexions sortantes aux adresses IP suivantes sont considérées comme un indicateur fort de compromission, tandis que les connexions entrantes peuvent indiquer une activité de balayage ou d’exploitation : 45.95.19[.]50, 51.15.17[.]89, 172.93.107[.]67, 199.247.7[.]82. Les indicateurs supplémentaires incluent des charges utiles de certificat IKE_AUTH surdimensionnées, des messages de journal concernant des chaînes de certificats de plus de huit entrées, et des plantages ou des blocages du processus iked. Comme mesures potentielles de mitigation pour CVE-2025-14733, il est fortement conseillé aux clients d’appliquer les mises à jour immédiatement ou de suivre les mesures de sauvegarde temporaires recommandées par WatchGuard pour les BOVPN configurations vulnérables.
Alors que l’activité d’exploitation de CVE s’intensifie et que les risques augmentent pour les cibles fédérales et de grande valeur, les défenseurs doivent réagir rapidement pour minimiser l’impact potentiel. Les organisations peuvent utiliser la plateforme d’intelligence de détection native IA de SOC Prime pour une défense en temps réel, les aidant à mettre en œuvre sans heurt des flux de travail automatisés de la détection à la simulation et à rester toujours en avance sur les menaces critiques grâce à une vaste bibliothèque de règles de détection organisées, d’intelligence exploitable et d’IA.
