Компания WatchGuard, базирующаяся в Сиэтле, выпустила экстренное предупреждение о критической бреши в системе безопасности своих устройств, получившей идентификатор CVE-2025-14733. Данная уязвимость классифицируется как «запись за пределами границ» (out-of-bounds write) и локализуется в процессе
Проблема затрагивает специфические конфигурации сетевого оборудования. Под угрозой находятся устройства, использующие Mobile user VPN по протоколу IKEv2, а также Branch office VPN, настроенные на работу с IKEv2 при использовании динамического шлюза (dynamic gateway peer). Существует важный нюанс, касающийся устаревших настроек: межсетевые экраны Firebox остаются уязвимыми, если они ранее имели вышеуказанные конфигурации (даже если те были удалены), при условии, что в данный момент на устройстве все еще настроен VPN для филиалов со статическим шлюзом.
Для устранения угрозы WatchGuard оперативно выпустила исправления для различных версий операционной системы Fireware OS. Патчи включены в релизы 2025.1.4, 12.11.6, а также 12.5.15 (для моделей T15 и T35). Для версий, сертифицированных по стандарту FIPS (ветка 12.3.1), исправление содержится в сборке 12.3.1_Update4 (Build B728352). Уязвимость также распространяется на более старые версии линейки 11.x, начиная с 11.10.2.
Специалистам по информационной безопасности необходимо проверить сетевые журналы на наличие взаимодействий с подозрительными IP-адресами, которые были идентифицированы как индикаторы компрометации. В список вредоносных адресов входят: 51.15.17[.]89, 172.93.107[.]67, 199.247.7[.]82 и 11.12.95.19[.]50 (формат последнего адреса в исходных данных имеет нестандартную структуру записи).
Системные логи могут содержать конкретные сообщения, сигнализирующие о попытках эксплуатации уязвимости. Характерным признаком атаки является запись: «Полученная цепочка сертификатов узла длиннее 8. Отклонить эту цепочку сертификатов» (перевод сообщения "Received peer certificate chain is longer than 8. Reject this certificate chain"). Это предупреждение генерируется при получении запроса
Данные разведки угроз указывают на пересечение с атаками на других вендоров. Аналитики Arctic Wolf ранее фиксировали активность с IP-адреса 199.247.7[.]82 в контексте недавних эксплойтов, направленных на продукты компании Fortinet (FortiOS, FortiWeb, FortiProxy, FortiSwitchManager). Атаки на Fortinet связаны с уязвимостями CVE-2025-59718 и CVE-2025-59719, имеющими критический рейтинг CVSS 9.8. На данный момент достоверно неизвестно, являются ли кампании против WatchGuard и Fortinet частями одной скоординированной операции.
Текущий инцидент продолжает череду проблем с безопасностью оборудования WatchGuard. Более месяца назад Агентство по кибербезопасности и инфраструктурной безопасности США (CISA) уже внесло другую уязвимость этого производителя — CVE-2025-9242 (также с рейтингом CVSS 9.3) — в свой каталог известных эксплуатируемых уязвимостей (KEV).
В качестве основной меры защиты настоятельно рекомендуется немедленная установка обновлений прошивки. Если оперативное обновление невозможно, для уязвимых конфигураций Branch Office VPN существует временное решение. Администраторам следует отключить BOVPN с динамическими пирами, создать алиас, содержащий статические IP-адреса удаленных пиров, и добавить новые политики межсетевого экрана, разрешающие доступ исключительно от этого алиаса. Кроме того, необходимо отключить встроенные политики по умолчанию, отвечающие за обработку VPN-трафика.
iked. Недостатку присвоена оценка 9.3 балла по шкале CVSS, что относит его к критическому уровню опасности. Дефект позволяет удаленному злоумышленнику, не прошедшему аутентификацию, выполнять произвольный код в целевой системе. Производитель официально подтвердил факты активной эксплуатации этой уязвимости в реальных кибератаках. Изображение носит иллюстративный характер
Проблема затрагивает специфические конфигурации сетевого оборудования. Под угрозой находятся устройства, использующие Mobile user VPN по протоколу IKEv2, а также Branch office VPN, настроенные на работу с IKEv2 при использовании динамического шлюза (dynamic gateway peer). Существует важный нюанс, касающийся устаревших настроек: межсетевые экраны Firebox остаются уязвимыми, если они ранее имели вышеуказанные конфигурации (даже если те были удалены), при условии, что в данный момент на устройстве все еще настроен VPN для филиалов со статическим шлюзом.
Для устранения угрозы WatchGuard оперативно выпустила исправления для различных версий операционной системы Fireware OS. Патчи включены в релизы 2025.1.4, 12.11.6, а также 12.5.15 (для моделей T15 и T35). Для версий, сертифицированных по стандарту FIPS (ветка 12.3.1), исправление содержится в сборке 12.3.1_Update4 (Build B728352). Уязвимость также распространяется на более старые версии линейки 11.x, начиная с 11.10.2.
Специалистам по информационной безопасности необходимо проверить сетевые журналы на наличие взаимодействий с подозрительными IP-адресами, которые были идентифицированы как индикаторы компрометации. В список вредоносных адресов входят: 51.15.17[.]89, 172.93.107[.]67, 199.247.7[.]82 и 11.12.95.19[.]50 (формат последнего адреса в исходных данных имеет нестандартную структуру записи).
Системные логи могут содержать конкретные сообщения, сигнализирующие о попытках эксплуатации уязвимости. Характерным признаком атаки является запись: «Полученная цепочка сертификатов узла длиннее 8. Отклонить эту цепочку сертификатов» (перевод сообщения "Received peer certificate chain is longer than 8. Reject this certificate chain"). Это предупреждение генерируется при получении запроса
IKE_AUTH с полезной нагрузкой сертификата (CERT), превышающей 2000 байт, или содержащей более 8 сертификатов. Успешный взлом часто приводит к зависанию процесса iked, что вызывает прерывание VPN-соединений, тогда как аварийное завершение процесса IKED с созданием отчета об ошибке может указывать как на успешную, так и на неудачную попытку эксплойта. Данные разведки угроз указывают на пересечение с атаками на других вендоров. Аналитики Arctic Wolf ранее фиксировали активность с IP-адреса 199.247.7[.]82 в контексте недавних эксплойтов, направленных на продукты компании Fortinet (FortiOS, FortiWeb, FortiProxy, FortiSwitchManager). Атаки на Fortinet связаны с уязвимостями CVE-2025-59718 и CVE-2025-59719, имеющими критический рейтинг CVSS 9.8. На данный момент достоверно неизвестно, являются ли кампании против WatchGuard и Fortinet частями одной скоординированной операции.
Текущий инцидент продолжает череду проблем с безопасностью оборудования WatchGuard. Более месяца назад Агентство по кибербезопасности и инфраструктурной безопасности США (CISA) уже внесло другую уязвимость этого производителя — CVE-2025-9242 (также с рейтингом CVSS 9.3) — в свой каталог известных эксплуатируемых уязвимостей (KEV).
В качестве основной меры защиты настоятельно рекомендуется немедленная установка обновлений прошивки. Если оперативное обновление невозможно, для уязвимых конфигураций Branch Office VPN существует временное решение. Администраторам следует отключить BOVPN с динамическими пирами, создать алиас, содержащий статические IP-адреса удаленных пиров, и добавить новые политики межсетевого экрана, разрешающие доступ исключительно от этого алиаса. Кроме того, необходимо отключить встроенные политики по умолчанию, отвечающие за обработку VPN-трафика.
