CVE-2025-14733 Vulnerabilidad: WatchGuard Aborda una Crítica RCE que Afecta a los Cortafuegos Firebox, Explotada Activamente en Ataques Reales
Justo días antes de Navidad, ha surgido otra vulnerabilidad crítica, continuando con una oleada de fallas explotadas activamente junto a recientes zero-days en Cisco AsyncOS (CVE-2025-20393) y Apple WebKit (CVE-2025-14174). WatchGuard ha revelado y abordado un problema de seguridad crítico que afecta a Fireware OS, confirmando que ya ha sido utilizado en ataques reales dirigidos a los firewalls Firebox.
Identificado como CVE-2025-14733 con una puntuación CVSS de 9.3, la vulnerabilidad se origina en una condición de escritura fuera de los límites en el proceso iked. La explotación exitosa permite a atacantes remotos no autenticados ejecutar código arbitrario mediante ataques de baja complejidad que no requieren interacción del usuario.
Exploraciones de Internet realizadas por Shadowserver identificaron más de 117,490 dispositivos Firebox expuestos y sin parchear al 21 de diciembre, subrayando la escala del potencial impacto. La Agencia de Ciberseguridad e Infraestructura de los EE. UU. (CISA) ha agregado la vulnerabilidad a su Catálogo de Vulnerabilidades Explotadas Conocidas (KEV), destacando su abuso activo y riesgo para entornos empresariales. Tales vulnerabilidades son un objetivo común para la explotación y representan riesgos elevados para las empresas federales.
Únase a la Plataforma SOC Prime, el hogar del conjunto de datos de inteligencia de detección más grande del mundo, entregando una cadena completa desde la detección de amenazas hasta la simulación para elevar sus capacidades SOC y defenderse proactivamente contra APTs, campañas de explotación y amenazas cibernéticas de cualquier sofisticación. Presione Explorar Detecciones para acceder a una colección contextualmente enriquecida de reglas dirigidas a la explotación de vulnerabilidades, filtradas por la etiqueta CVE relevante.
Todas las reglas son compatibles con múltiples formatos SIEM, EDR y Data Lake y están mapeadas al marco MITRE ATT&CK® v18.1. Además, cada regla está enriquecida con CTI enlaces, líneas de tiempo de ataques, configuraciones de auditoría, recomendaciones de triaje, y más contexto relevante.
Los ingenieros de seguridad también pueden aprovechar Uncoder AI, un IDE y copiloto para la ingeniería de detección. Con Uncoder, los defensores pueden convertir instantáneamente IOCs en consultas personalizadas de caza, crear código de detección a partir de informes de amenazas en bruto, generar diagramas de Flujo de Ataque, habilitar la predicción de etiquetas ATT&CK, aprovechar la optimización de consultas impulsada por IA y traducir contenido de detección a través de múltiples plataformas.
Análisis de CVE-2025-14733
WatchGuard ha revelado recientemente una vulnerabilidad crítica de escritura fuera de los límites en Fireware OS rastreada como CVE-2025-14733, afectando al proceso iked , que puede permitir a un atacante remoto no autenticado ejecutar código arbitrario. La falla impacta a las VPNs de Usuario Móvil basadas en IKEv2 y VPNs de Oficina Sucursal, especialmente cuando están configuradas con pares de puerta de enlace dinámica. Más específicamente, la falla afecta a varias versiones de Fireware OS y se resuelve en las versiones 2025.1.4, 12.11.6, 12.5.15 (T15/T35), y 12.3.1_Update4 (FIPS), mientras que las versiones 11.x están fuera de soporte. Los Fireboxes pueden permanecer vulnerables incluso si las configuraciones VPN afectadas fueron eliminadas previamente, siempre y cuando un BOVPN estático aún esté configurado.
WatchGuard confirmó que la vulnerabilidad está siendo explotada activamente en el entorno. Los adversarios están aprovechando activamente CVE-2025-14733 como parte de una campaña más amplia enfocada en dispositivos de red perimetral e infraestructura expuesta a través de múltiples proveedores.
Hay soluciones disponibles para las versiones soportadas de Fireware OS, mientras que las versiones 11.x están fuera de soporte. La empresa también compartió Indicadores de Ataque (IoAs) para ayudar a identificar intentos de explotación. Conexiones salientes a las siguientes direcciones IP se consideran un fuerte indicador de compromiso, mientras que las conexiones entrantes pueden señalar actividad de escaneo o explotación: 45.95.19[.]50, 51.15.17[.]89, 172.93.107[.]67, 199.247.7[.]82. Indicadores adicionales incluyen cargas útiles IKE_AUTH CERT sobredimensionadas, mensajes de registro sobre cadenas de certificados más largas de ocho entradas, y bloqueos o cuelgues del proceso iked. Como medidas de mitigación potencial para CVE-2025-14733, se recomienda encarecidamente a los clientes que apliquen las actualizaciones de inmediato o sigan las salvaguardas temporales recomendadas por WatchGuard para BOVPN configuraciones vulnerables.
A medida que aumenta la actividad de explotación de CVE y los riesgos escalan para objetivos federales y de alto valor, los defensores deben responder rápidamente para minimizar el posible impacto. Las organizaciones pueden aprovechar la Plataforma de Inteligencia de Detección Nativa de IA de SOC Prime para una defensa en tiempo real, ayudándoles a implementar sin problemas flujos de trabajo automatizados desde la detección hasta la simulación y siempre mantenerse a la vanguardia de amenazas críticas respaldadas por una amplia biblioteca de reglas de detección curadas, inteligencia procesable e IA.
