CVE-2025-14733 Sicherheitslücke: WatchGuard behebt eine kritische RCE, die Firebox-Firewalls betrifft und aktiv für echte Angriffe ausgenutzt wird

Nur wenige Tage vor Weihnachten ist eine weitere kritische Schwachstelle aufgetaucht, die eine Welle von aktiv ausgenutzten Mängeln neben den jüngsten Zero-Days in Cisco AsyncOS (CVE-2025-20393) und Apple WebKit (CVE-2025-14174) fortsetzt. WatchGuard hat ein kritisches Sicherheitsproblem in Fireware OS offengelegt und behoben und bestätigt, dass es bereits in realen Angriffen gegen Firebox-Firewalls eingesetzt wurde.

Identifiziert als CVE-2025-14733 mit einem CVSS-Wert von 9,3, ergibt sich die Schwachstelle aus einer Out-of-Bounds-Schreibbedingung im iked-Prozess. Ein erfolgreicher Angriff ermöglicht es nicht authentifizierten entfernten Angreifern, beliebigen Code durch Angriffe mit geringer Komplexität auszuführen, die keine Benutzerinteraktion erfordern.

Internetscans, durchgeführt von Shadowserver identifizierten mehr als 117.490 exponierte und ungepatchte Firebox-Geräte bis zum 21. Dezember, was das Ausmaß der potenziellen Auswirkungen unterstreicht. Die US-amerikanische Agentur für Cybersicherheit und Infrastruktur (CISA) hat hinzugefügt die Schwachstelle zu ihrem Katalog der bekannt ausgenutzten Schwachstellen (KEV), was ihren aktiven Missbrauch und das Risiko für Unternehmensumgebungen unterstreicht. Solche Schwachstellen sind ein häufiges Ziel für Ausnutzungen und stellen erhöhte Risiken für föderale Unternehmen dar.

Treten Sie der SOC Prime Platform bei, die Heimat des größten Detection Intelligence-Datensatzes der Welt, und bietet eine End-to-End-Pipeline von der Bedrohungserkennung über die Simulation an, um Ihre SOC-Fähigkeiten zu verbessern und proaktiv gegen APTs, Ausnutzungskampagnen und Cyberbedrohungen jeglicher Komplexität zu verteidigen. Drücken Sie Erkennungen erkunden, um auf eine kontextangereicherte Sammlung von Regeln zuzugreifen, die die Ausnutzung von Schwachstellen ansprechen und nach dem entsprechenden CVE-Tag gefiltert sind.

EErkennungen erkunden

Alle Regeln sind mit mehreren SIEM-, EDR- und Data Lake-Formaten kompatibel und werden der MITRE ATT&CK® v18.1 Framework zugeordnet. Darüber hinaus wird jede Regel mit CTI Links, Angriffschronologien, Audit-Konfigurationen, Triage-Empfehlungen und weiteren relevanten Kontexten angereichert.

Sicherheitsingenieure können auch Uncoder AInutzen, eine IDE und Co-Pilot für die Erkennungstechnik. Mit Uncoder können Verteidiger IOCs sofort in benutzerdefinierte Jagd-Queries umwandeln, Erkennungscode aus Rohbedrohungsberichten entwickeln, Angriffschemadiagramme erzeugen, ATT&CK-Tags-Vorhersagen aktivieren, KI-gesteuerte Abfrageoptimierung nutzen und Erkennungsinhalte über mehrere Plattformen hinweg übersetzen.

CVE-2025-14733 Analyse

WatchGuard hat kürzlich eine kritische Out-of-Bounds-Schreibschwachstelle in Fireware OS offengelegt, die als verfolgt wird verfolgt wird, die den iked Prozess betrifft und es einem entfernten, nicht authentifizierten Angreifer ermöglichen könnte, beliebigen Code auszuführen. Der Fehler betrifft IKEv2-basierte Mobile User VPNs und Branch Office VPNs, insbesondere wenn sie mit dynamischen Gateway-Peers konfiguriert sind. Genauer gesagt betrifft der Fehler mehrere Fireware OS-Versionen und wird in den Versionen 2025.1.4, 12.11.6, 12.5.15 (T15/T35) und 12.3.1_Update4 (FIPS) behoben, während 11.x-Versionen das Ende ihrer Lebensdauer erreicht haben. Fireboxen können weiterhin anfällig bleiben, selbst wenn betroffene VPN-Konfigurationen zuvor entfernt wurden, solange ein statisches BOVPN noch konfiguriert ist.

WatchGuard bestätigte, dass die Schwachstelle in freier Wildbahn aktiv ausgenutzt wird. Gegner nutzen CVE-2025-14733 aktiv im Rahmen einer breiteren Kampagne, die sich gegen Edge-Netzwerkgeräte und exponierte Infrastrukturen mehrerer Anbieter richtet.

Korrekturen sind für unterstützte Fireware OS-Versionen verfügbar, während 11.x-Versionen das Ende ihrer Lebensdauer erreicht haben. Das Unternehmen hat auch Angriffsanzeigen (IoAs) geteilt, um Ausnutzungsversuche zu identifizieren. Ausgehende Verbindungen zu den folgenden IP-Adressen gelten als starkes Kompromissanzeichen, während eingehende Verbindungen Scanning- oder Ausnutzungstätigkeiten signalisieren können: 45.95.19[.]50, 51.15.17[.]89, 172.93.107[.]67, 199.247.7[.]82. Zusätzliche Indikatoren umfassen übergroße IKE_AUTH CERT Nutzlasten, Protokollmeldungen über Zertifikatsketten, die länger als acht Einträge sind, und Abstürze oder Hänger des iked-Prozesses. Als potenzielle CVE-2025-14733-Minderungsmaßnahmen wird Kunden dringend empfohlen, Updates sofort anzuwenden oder den von WatchGuard empfohlenen temporären Schutzmaßnahmen für verwundbare BOVPN Konfigurationen zu folgen.

Da die Ausnutzungstätigkeit der CVE zunimmt und die Risiken für föderale und wertvolle Ziele steigen, müssen Verteidiger schnell reagieren, um potenzielle Auswirkungen zu minimieren. Organisationen können die AI-nativ Detection Intelligence Platform von SOC Prime für Echtzeit-Verteidigung nutzen, mit der sie automatisierte Workflows von der Erkennung bis zur Simulation reibungslos implementieren und stets einen Schritt voraus vor kritischen Bedrohungen bleiben, unterstützt durch eine umfassende Bibliothek von kuratierten Erkennungsregeln, umsetzbarer Intelligenz und KI.