CRITICAL🚩 CISA KEV⚡ EXPLOIT✓ PATCH🇬🇧 English

CVE-2025-14733

RCE bez uwierzytelnienia w WatchGuard Fireware OS – podatność IKEv2 VPN

CVSS 9.3v4.0pub. 2025-12-19upd. 2025-12-23

Podatność typu Out-of-bounds Write w systemie WatchGuard Fireware OS umożliwia zdalnemu, nieuwierzytelnionemu atakującemu wykonanie dowolnego kodu na urządzeniu. Luka jest aktywnie wykorzystywana w atakach, co nadaje jej najwyższy priorytet naprawy.

Pokaż oryginał (EN)

An Out-of-bounds Write vulnerability in WatchGuard Fireware OS may allow a remote unauthenticated attacker to execute arbitrary code. This vulnerability affects both the Mobile User VPN with IKEv2 and the Branch Office VPN using IKEv2 when configured with a dynamic gateway peer.This vulnerability affects Fireware OS 11.10.2 up to and including 11.12.4_Update1, 12.0 up to and including 12.11.5 and 2025.1 up to and including 2025.1.3.

🤖 Analiza AI
Jak działa

Błąd polega na zapisie poza granicami przydzielonego bufora (CWE-787) w komponencie obsługującym protokół IKEv2. Podatność jest wyzwalana zarówno przez Mobile User VPN z IKEv2, jak i przez Branch Office VPN z IKEv2 skonfigurowany z dynamicznym peerem bramy (dynamic gateway peer). Atakujący może wysłać specjalnie spreparowane pakiety IKEv2 bez konieczności wcześniejszego uwierzytelnienia, co prowadzi do uszkodzenia pamięci i potencjalnego przejęcia kontroli nad urządzeniem.

Skutki

Atakujący może wykonać dowolny kod na urządzeniu z poziomem uprawnień procesu obsługującego VPN, co w praktyce oznacza pełne przejęcie kontroli nad urządzeniem brzegowym, a tym samym nad ruchem sieciowym chronionym przez dane urządzenie WatchGuard Firebox.

Mitygacja

Należy niezwłocznie zaktualizować system Fireware OS do wersji wyższej niż 11.12.4_Update1 (dla gałęzi 11.x), wyższej niż 12.11.5 (dla gałęzi 12.x) lub wyższej niż 2025.1.3 (dla gałęzi 2025.1), zgodnie z oficjalnym komunikatem WatchGuard PSIRT (WGSA-2025-00027). Do czasu aplikacji patcha należy rozważyć wyłączenie funkcji IKEv2 VPN lub ograniczenie dostępu do portów IKEv2 wyłącznie do zaufanych adresów IP na poziomie firewalla.

Kogo dotyczy

WatchGuard Firebox T70, M440, M370, M690, M470 z systemem Fireware OS w wersjach: 11.10.2 do 11.12.4_Update1 włącznie, 12.0 do 12.11.5 włącznie oraz 2025.1 do 2025.1.3 włącznie, gdy skonfigurowany jest Mobile User VPN z IKEv2 lub Branch Office VPN z IKEv2 z dynamicznym peerem bramy.

Uwagi

Podatność figuruje w katalogu CISA Known Exploited Vulnerabilities, co potwierdza jej aktywne wykorzystywanie w środowiskach produkcyjnych. Doradztwo bezpieczeństwa producenta dostępne pod identyfikatorem WGSA-2025-00027.

CVSS Vector
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:Red
  • Watchguard Fireboxcloud

    HW
    Watchguard
    wszystkie wersje
  • Watchguard Firebox M270

    HW
    Watchguard
    wszystkie wersje
  • Watchguard Firebox M290

    HW
    Watchguard
    wszystkie wersje
  • Watchguard Firebox M370

    HW
    Watchguard
    wszystkie wersje
  • Watchguard Firebox M390

    HW
    Watchguard
    wszystkie wersje
  • Watchguard Firebox M440

    HW
    Watchguard
    wszystkie wersje
  • Watchguard Firebox M4600

    HW
    Watchguard
    wszystkie wersje
  • Watchguard Firebox M470

    HW
    Watchguard
    wszystkie wersje
  • Watchguard Firebox M4800

    HW
    Watchguard
    wszystkie wersje
  • Watchguard Firebox M5600

    HW
    Watchguard
    wszystkie wersje
  • Watchguard Firebox M570

    HW
    Watchguard
    wszystkie wersje
  • Watchguard Firebox M5800

    HW
    Watchguard
    wszystkie wersje
  • Watchguard Firebox M590

    HW
    Watchguard
    wszystkie wersje
  • Watchguard Firebox M670

    HW
    Watchguard
    wszystkie wersje
  • Watchguard Firebox M690

    HW
    Watchguard
    wszystkie wersje
  • Watchguard Firebox Nv5

    HW
    Watchguard
    wszystkie wersje
  • Watchguard Firebox T115 W

    HW
    Watchguard
    wszystkie wersje
  • Watchguard Firebox T125

    HW
    Watchguard
    wszystkie wersje
  • Watchguard Firebox T125 W

    HW
    Watchguard
    wszystkie wersje
  • Watchguard Firebox T145

    HW
    Watchguard
    wszystkie wersje
  • Watchguard Firebox T145 W

    HW
    Watchguard
    wszystkie wersje
  • Watchguard Firebox T15

    HW
    Watchguard
    wszystkie wersje
  • Watchguard Firebox T185

    HW
    Watchguard
    wszystkie wersje
  • Watchguard Firebox T20

    HW
    Watchguard
    wszystkie wersje
  • Watchguard Firebox T25

    HW
    Watchguard
    wszystkie wersje
  • Watchguard Firebox T35

    HW
    Watchguard
    wszystkie wersje
  • Watchguard Firebox T40

    HW
    Watchguard
    wszystkie wersje
  • Watchguard Firebox T45

    HW
    Watchguard
    wszystkie wersje
  • Watchguard Firebox T55

    HW
    Watchguard
    wszystkie wersje
  • Watchguard Firebox T70

    HW
    Watchguard
    wszystkie wersje

CISA KEV — szczegółyi

Dostawcai
WatchGuard
Produkti
Firebox
Data dodania do KEVi
19 grudnia 2025
Termin remediation (USA)i
26 grudnia 2025(po terminie)
Wymagana akcja (CISA)i

Zastosuj mitygacje zgodnie z instrukcjami producenta, postępuj zgodnie z wytycznymi BOD 22-01 dla usług w chmurze lub zaprzestań korzystania z produktu, jeśli mitygacje są niedostępne.

tłumaczenie AI
Pokaż oryginał (EN)

Apply mitigations per vendor instructions, follow applicable BOD 22-01 guidance for cloud services, or discontinue use of the product if mitigations are unavailable.

Opis CISAi

WatchGuard Fireware OS - proces iked zawiera podatność out of bounds write w procesie OS iked. Ta podatność może pozwolić zdalnemu, nieuwierzytelnionemu atakującemu na wykonanie arbitralnego kodu i dotyczy zarówno mobilnego VPN użytkownika z IKEv2, jak i firemnego VPN oddziału wykorzystującego IKEv2 skonfigurowany z dynamicznym perem bramy.

tłumaczenie AI
Pokaż oryginał (EN)

WatchGuard Fireware OS iked process contains an out of bounds write vulnerability in the OS iked process. This vulnerability may allow a remote unauthenticated attacker to execute arbitrary code and affects both the mobile user VPN with IKEv2 and the branch office VPN using IKEv2 when configured with a dynamic gateway peer.

🔴
NATYCHMIASTOWE DZIAŁANIE
Aktywnie wykorzystywane w atakach (CISA KEV). Załataj jak najszybciej.
CISA DEADLINE: 26 grudnia 2025
Tagi
RCEAuth BypassMemoryVPN
CWE
Referencje

Powiązane podatności

CVE-2025-9242CRITICAL9.3⚠ KEVPL ✓ten sam produkt

RCE przez Out-of-bounds Write w WatchGuard Fireware OS (IKEv2 VPN)

CVE-2022-26318CRITICAL9.8⚠ KEVten sam produkt

On WatchGuard Firebox and XTM appliances, an unauthenticated user can execute arbitrary code, aka FBX-22786. T...

CVE-2022-31789CRITICAL9.8ten sam produkt

An integer overflow in WatchGuard Firebox and XTM appliances allows an unauthenticated remote attacker to trig...

CVE-2022-25361CRITICAL9.1ten sam produkt

WatchGuard Firebox and XTM appliances allow an unauthenticated remote attacker to delete arbitrary files from ...

CVE-2022-23176HIGH8.8⚠ KEVten sam produkt

WatchGuard Firebox and XTM appliances allow a remote attacker with unprivileged credentials to access the syst...