© 2025 Planetmav

Sfruttamento Firewall WatchGuard (CVE-2025-14733)

Dicembre 20, 2025 | 10:47 am

🚨 CRITICO (CVSS 9.3) – Sfruttamento Attivo Confermato

WatchGuard ha confermato che una vulnerabilità critica di esecuzione di codice in remoto (RCE) nei suoi firewall Firebox viene attivamente sfruttata “in the wild” (nel mondo reale). Questo difetto consente agli attaccanti di prendere il pieno controllo del dispositivo senza bisogno di alcun nome utente o password.

1. Spiegazione della Vulnerabilità

La vulnerabilità, tracciata come CVE-2025-14733, è un difetto di “scrittura fuori dai limiti” (out-of-bounds write) situato nel componente VPN IKEv2 (Internet Key Exchange version 2) del sistema operativo Fireware.

  • Il Difetto: Il processo specifico responsabile della gestione delle connessioni VPN (iked) non riesce a convalidare correttamente i pacchetti di dati in arrivo.
  • L’Attacco: Un attaccante invia al firewall un pacchetto IKEv2 malevolo appositamente creato (in particolare una richiesta IKE_AUTH con un payload del certificato anormalmente grande).
  • Il Risultato: Questo provoca un overflow della memoria del sistema, consentendo all’attaccante di eseguire il proprio codice dannoso con privilegi di root. Ciò garantisce loro un accesso “shell” illimitato al firewall.

2. Perché è Pericoloso

  • Nessuna Autenticazione Richiesta: L’attaccante non ha bisogno di conoscere alcuna credenziale per entrare. Deve solo essere in grado di raggiungere l’interfaccia VPN del dispositivo tramite internet.
  • Compromissione Totale: Una volta dentro, gli attaccanti possono rubare le password memorizzate (incluse le credenziali VPN), decifrare e intercettare il traffico sensibile che passa attraverso il firewall e utilizzare il dispositivo come base di lancio per attaccare la rete interna.
  • Rischio “Fantasma”: Anche se hai eliminato le configurazioni VPN vulnerabili, potresti essere ancora a rischio se rimangono impostazioni “residue” o se hai ancora attive VPN statiche per filiali (branch office).

3. Versioni Interessate

Questo difetto colpisce le appliance WatchGuard Firebox che eseguono le seguenti versioni del sistema operativo Fireware:

  • Fireware v12: Versioni dalla 12.0 fino alla 12.11.5
  • Fireware v2025: Versioni dalla 2025.1 fino alla 2025.1.3
  • Legacy v11: Versioni dalla 11.10.2 fino alla 11.12.4_Update1

4. Indicatori di Compromissione (IoC)

WatchGuard ha rilasciato segnali specifici da cercare nei log che indicano un tentativo di attacco:

  • Messaggi di log che affermano: “Received peer certificate chain is longer than 8.” (Ricevuta catena di certificati peer più lunga di 8).
  • Richieste IKE_AUTH con una dimensione del payload CERT superiore a 2000 byte.
  • Il processo iked che si blocca o va in crash inaspettatamente.
  • Traffico da/verso IP malevoli noti (ad esempio, 45.95.19.50, 51.15.17.89).

5. Azione Immediata Richiesta

A. Patch Immediata: Aggiorna il tuo dispositivo alle versioni corrette rilasciate il 18 dicembre 2025:

  • Fireware v12.11.6
  • Fireware v2025.1.4
  • Fireware v12.5.15 (per i modelli T15/T35)

B. Controllo Post-Compromissione: Poiché questa falla viene sfruttata attivamente, dovresti presumere che i dispositivi non aggiornati possano essere già stati compromessi. WatchGuard raccomanda di ruotare (cambiare) tutti i segreti condivisi e le password memorizzate sul dispositivo dopo l’aggiornamento.

Tags:

No tags
Previous

Comments are closed

Latest Comments

Nessun commento da mostrare.

© 2025 Planetmav. Created with ❤ using WordPress and Kubio