Cosa sta succedendo
Se gestisci una rete aziendale con firewall WatchGuard, devi sapere questo: oltre 125.000 dispositivi Firebox sono esposti online e vulnerabili a un attacco critico già in corso. La buona notizia? La soluzione è semplice: aggiorna il firmware immediatamente alle versioni patchate disponibili da dicembre 2025.
La vulnerabilità si chiama CVE-2025-14733 ed è particolarmente pericolosa perché permette a un attaccante remoto di prendere il controllo completo del tuo firewall senza bisogno di login. Non richiede alcuna azione da parte dell’utente: basta inviare un pacchetto dannoso alla porta VPN e il dispositivo è compromesso.
Chi è colpito
Le versioni vulnerabili sono:
– Fireware OS 11.x (fino a 11.12.4_Update1)
– Fireware OS 12.x (fino a 12.11.5)
– Fireware OS 12.5.x per modelli T15 e T35
– Fireware OS 2025.1 (fino a 2025.1.3)
Se il tuo Firebox esegue una di queste versioni, è a rischio. Anche se non hai VPN attive, una configurazione BOVPN statica mantiene la vulnerabilità aperta.
Come proteggersi: azioni immediate
Passo 1: Aggiorna il firmware
WatchGuard ha rilasciato le patch il 18 dicembre 2025. Scarica e installa una di queste versioni:
– 2025.1.4 (per Fireware OS 2025.1)
– 12.11.6 (per Fireware OS 12.x)
– 12.5.15 (per Fireware OS 12.5.x su T15/T35)
– 12.3.1_Update4 (per la release FIPS)
Le versioni 11.x sono a fine vita e non riceveranno patch: dovrai migrare a una versione più recente.
Passo 2: Scansiona la tua rete
Identifica tutti i dispositivi Firebox esposti su internet e verifica quali versioni stanno eseguendo. Priorità massima per quelli vulnerabili.
Passo 3: Controlla i log
Cerca indicatori di attacco nei tuoi log:
– Messaggi relativi a catene di certificati con più di 8 elementi
– Richieste IKE_AUTH con payload CERT anomalamente grandi (oltre 2000 byte)
– Blocchi del processo iked o crash del firewall
– Errori di memoria correlati al servizio VPN
Passo 4: Se compromesso, ruota i segreti
Se sospetti che il tuo dispositivo sia stato attaccato, dopo l’aggiornamento ruota tutti i segreti locali e monitora attentamente il traffico di rete.
Perché è così grave
Questa vulnerabilità ha un punteggio CVSS di 9.8, il massimo livello di criticità. Gli attaccanti non hanno bisogno di:
– Credenziali di accesso
– Interazione dell’utente
– Accesso alla rete interna
Basta accesso a internet e la conoscenza dell’indirizzo IP del firewall. Una volta dentro, hanno controllo totale del dispositivo e possono usarlo come punto di ingresso per compromettere l’intera rete aziendale.
Il contesto globale
La CISA (Cybersecurity and Infrastructure Security Agency) americana ha aggiunto CVE-2025-14733 al catalogo delle vulnerabilità attivamente sfruttate il 18 dicembre 2025 e ha ordinato alle agenzie federali di applicare le patch entro il 26 dicembre. Shadowserver ha identificato oltre 125.000 indirizzi IP vulnerabili distribuiti globalmente, con concentrazioni significative negli Stati Uniti.
Gli attaccanti stanno già tentando di sfruttare questa falla come parte di una campagna più ampia contro apparati di rete edge di più fornitori.
—
Approfondimento tecnico
Come funziona l’attacco
La vulnerabilità risiede nel processo iked (IKE daemon) del Fireware OS, responsabile della negoziazione, autenticazione e gestione dei tunnel VPN IKEv2. È classificata come out-of-bounds write, un errore che permette di scrivere dati al di fuori dei limiti di memoria allocati.
Quando un attaccante invia un payload opportunamente costruito al servizio VPN, causa una corruzione della memoria nel processo iked. Questa corruzione consente l’esecuzione di codice arbitrario con privilegi di sistema, bypassando completamente i meccanismi di sicurezza del dispositivo.
Indicatori tecnici di compromissione
Monitora questi segnali nei tuoi log:
– Catene di certificati anomale: messaggi di log che segnalano catene di certificati con più di 8 elementi
– Payload CERT oversized: richieste IKE_AUTH con payload CERT superiore a 2000 byte
– Crash del processo iked: blocchi improvvisi o interruzioni delle connessioni VPN
– Fault report: generazione di report di errore sul dispositivo Firebox
Relazione con vulnerabilità precedenti
Questa non è la prima vulnerabilità critica nel processo iked. A settembre 2025, CVE-2025-9242 colpì lo stesso componente. La ricorrenza di problemi critici nello stesso processo suggerisce la necessità di una revisione approfondita del codice di questo modulo.
Raccomandazioni post-patch
Dopo l’aggiornamento:
– Ruota tutte le credenziali VPN e i segreti locali
– Esegui un audit completo dei log per identificare accessi non autorizzati
– Monitora il comportamento del dispositivo per anomalie
– Considera l’implementazione di controlli di rete aggiuntivi davanti ai firewall Firebox
– Pianifica una migrazione da versioni 11.x il prima possibile
Fonte: https://cybersecuritynews.com/125000-ips-watchguard-firebox-devices/
