Resumo
A WatchGuard lançou atualizações de emergência após confirmar exploração ativa de uma falha zero‑day em seus appliances Firebox que permite execução remota de código sem autenticação. Administradores devem aplicar os patches indicados e investigar possíveis compromissos.
O que se sabe
Relatos detalham uma vulnerabilidade crítica rastreada como CVE‑2025‑14733 com pontuação CVSS 9.3. Segundo o adviso do fornecedor, a falha é um out‑of‑bounds write no processo iked, responsável por conexões VPN, e afeta as funcionalidades Mobile User VPN e Branch Office VPN (quando IKEv2 é usado).
A WatchGuard confirmou ter “
observed threat actors actively attempting to exploit this vulnerability.” A empresa publicou indicadores de compromisso (IoCs) e recomendações de mitigação.
Vetores e evidências técnicas
A falha ocorre durante o processamento de pedidos IKE; um pacote especialmente forjado pode corromper a memória do processo e levar à execução arbitrária de código sem necessidade de usuário e senha. O fornecedor destaca sinais de tentativa de exploração que administradores devem procurar:
- Requisições IKE_AUTH com payloads de certificado (>2000 bytes).
- Erros indicando cadeias de certificados longas (“Received peer certificate chain is longer than 8”).
- Falhas ou travamentos inesperados do processo iked.
A WatchGuard também divulgou uma lista pública de endereços IP suspeitos associados a tráfego de ataque, incluindo: 45.95.19[.]50, 51.15.17[.]89, 172.93.107[.]67 e 199.247.7[.]82.
Atualizações e remediação
O fornecedor liberou correções e versões alvo para imediata atualização. As recomendações divulgadas são:
- Fireware OS 2025.1 → atualizar para 2025.1.4
- Fireware OS 12.x → atualizar para 12.11.6
- Fireware OS 12.5.x (T15/T35) → atualizar para 12.5.15
A WatchGuard alerta que, se um dispositivo foi comprometido, aplicar o patch por si só pode não ser suficiente: é preciso rotacionar segredos (senhas, chaves) armazenados no appliance, já que atores podem tê‑los exfiltrado durante a exploração.
Impacto e alcance
O adviso descreve exploração ativa, o que eleva a prioridade para programas de segurança. O alcance operacional depende diretamente de quantos appliances Firebox expõem serviços VPN vulneráveis e de configurações como gateways estáticos em Branch Office VPNs — configurações que o fornecedor observa manter o risco mesmo após deleção de uma configuração vulnerável.
Até o momento a WatchGuard não divulgou números públicos sobre quantidade de dispositivos afetados ou comprovação de compromissos em clientes específicos; esse dado é relevante para avaliar alcance real e ainda não foi fornecido no comunicado.
O que equipes de SOC/CISO devem fazer agora
- Aplicar as versões de Fireware indicadas pelo fornecedor imediatamente em sistemas de produção e perímetro.
- Revisar logs VPN/IKE em busca dos IoCs e sinais listados (payloads de certificado, cadeias longas, crashes do iked).
- Rotacionar senhas e chaves armazenadas nos appliances que possam ter sido acessadas.
- Isolar e coletar evidências (dump de memória, logs) caso seja detectada atividade suspeita para análise forense e notificação adequada.
Repercussão e lacunas de informação
O comunicado fornece indicadores e versões corrigidas, mas não quantifica o impacto por cliente ou setor, nem confirma se houve campanhas de larga escala além das tentativas observadas. Não há dados públicos no adviso sobre exploração dirigida a países ou setores específicos, nem detalhes de assinaturas de malware associadas.
Sem essa telemetria, operações de segurança devem assumir risco elevado até que haja evidência contrária e acelerar mitigação em perímetros VPN.
Fontes
Relato e advisory público compilados a partir do comunicado e do post técnico publicado pelo veículo Cyber Security News, com base nas informações divulgadas pela WatchGuard.