Yoan AGOSTINI

Yoan AGOSTINI

1337 G33k

New critical WatchGuard Firebox firewall flaw exploited in attacks

1 minute de lecture

Mis à jour :

Vulnérabilité Critique Exploitée sur les Firebox WatchGuard

Une faille de sécurité critique, identifiée sous la référence CVE-2025-14733, affecte les pare-feux WatchGuard Firebox fonctionnant sous Fireware OS 11.x et versions ultérieures, ainsi que 12.x et versions ultérieures, et 2025.1 jusqu’à 2025.1.3. Cette vulnérabilité permet à des attaquants non authentifiés d’exécuter du code malveillant à distance sur des appareils non corrigés, via des attaques de faible complexité ne nécessitant aucune interaction utilisateur. La cause est une faiblesse de type “out-of-bounds write”.

Bien que la vulnérabilité ne puisse être exploitée que si les pare-feux sont configurés pour utiliser le VPN IKEv2, WatchGuard précise que des configurations antérieures de VPN (même supprimées) impliquant des pairs statiques peuvent encore exposer les appareils. L’entreprise a constaté des tentatives d’exploitation actives de cette faille.

Les versions impactées incluent des modèles tels que les séries T15, T35, T115-W, T125, T145, T185, T20 à T85, M270 à M590, M440 à M690, ainsi que Firebox Cloud, Firebox NV5 et FireboxV, selon les branches de Fireware OS.

Points Clés :

  • Nature de la vulnérabilité : Exécution de code à distance (RCE) via une faiblesse “out-of-bounds write”.
  • Exploitation : Activement exploitée dans la nature, faible complexité, sans interaction utilisateur.
  • Conditions d’exploitation : Principalement si le VPN IKEv2 est configuré, mais des configurations VPN antérieures avec des pairs statiques peuvent suffire.
  • Produits affectés : Divers modèles de pare-feux WatchGuard Firebox avec des versions spécifiques de Fireware OS.

Recommandations :

  • Mise à jour immédiate : Les clients sont fortement encouragés à appliquer les correctifs disponibles pour leurs appareils Firebox.
  • Contournement temporaire : Pour ceux qui ne peuvent pas patcher immédiatement, WatchGuard propose un contournement impliquant la désactivation des VPN BOVPN dynamiques, l’ajout de nouvelles règles de pare-feu et la désactivation des règles système par défaut gérant le trafic VPN.
  • Vérification des compromissions : Les administrateurs sont invités à consulter les indicateurs de compromission fournis par WatchGuard pour vérifier si leurs appareils ont été affectés. En cas de signes d’activité malveillante, il est recommandé de réinitialiser tous les secrets stockés localement sur les appareils vulnérables.

Source

Vous pourriez aimer

Weekly Update 484

1 minute de lecture

Mis à jour :

Mises à jour hebdomadaires et aperçu des menaces