Firebox рвут на куски прямо сейчас — критическая дыра топит корпоративные сети без пароля и удалённо

WatchGuard уязвимость CVE-2025-14733 межсетевые экраны Fireware OS
Firebox рвут на куски прямо сейчас — критическая дыра топит корпоративные сети без пароля и удалённо
WatchGuard уязвимость CVE-2025-14733 межсетевые экраны Fireware OS

Защитные экраны WatchGuard стали главной угрозой и поставили под огонь сотни тысяч компаний.

image

WatchGuard предупредила клиентов о критической уязвимости в межсетевых экранах Firebox, которая уже используется злоумышленниками в реальных атаках. Речь идёт об ошибке удалённого выполнения кода, позволяющей захватить устройство без какой-либо аутентификации и без участия пользователя. Компания настоятельно рекомендует как можно скорее установить обновления.

Проблема отслеживается под идентификатором CVE-2025-14733 и затрагивает широкий диапазон версий Fireware OS. Под удар попали сборки ветки 11.x, начиная с 11.12.4 Update1, все релизы 12.x, включая 12.11.5, а также линейка 2025.1 вплоть до версии 2025.1.3. Ошибка кроется в некорректной обработке данных, приводящей к записи за пределами допустимого диапазона памяти, что открывает атакующему прямую дорогу к выполнению произвольного кода на незащённом устройстве.

Эксплуатация не требует сложных условий. По данным WatchGuard, атаки имеют низкий уровень сложности и не предполагают никаких действий со стороны администратора или пользователя. Достаточно сетевого доступа к уязвимому компоненту. При этом важная деталь касается конфигурации: Firebox становится уязвимым, если на нём используется VPN на базе IKEv2. Однако даже удаление проблемных настроек не всегда гарантирует безопасность.

Компания отдельно подчёркивает, что риск может сохраняться и в тех случаях, когда мобильный VPN с IKEv2 или туннель между офисами с динамическим пиром уже были удалены. Если при этом остаётся активным branch office VPN с IKEv2, настроенный на статический шлюз, устройство всё равно может быть скомпрометировано. Именно такие остаточные конфигурации, по словам разработчика, создают ложное ощущение защищённости.

WatchGuard подтверждает, что фиксирует попытки эксплуатации CVE-2025-14733 «в дикой природе». Это означает, что уязвимость уже включена в арсенал атакующих, а промедление с обновлением повышает риск полного захвата периметра сети. Для организаций, которые по тем или иным причинам не могут немедленно установить патчи, компания предложила временные меры. Они включают отключение межофисный VPN с динамическими пирами, создание дополнительных правил межсетевого экрана и деактивацию стандартных системных политик, обрабатывающих VPN-трафик.

Список затронутых устройств охватывает десятки моделей. В ветке Fireware OS 12.5.x уязвимыми оказались T15 и T35. В линейке 2025.1.x под угрозой находятся T115-W, T125, T125-W, T145, T145-W и T185. Самый обширный перечень относится к Fireware OS 12.x — от компактных T20 и T25 до старших M-серий, включая M270, M290, M370, M390, M470, M570, M590, M670 и M690, а также крупные решения вроде M440, M4600, M4800, M5600 и M5800. В этот же список входят виртуальные и облачные продукты: Firebox Cloud, Firebox NV5 и FireboxV.

Помимо обновлений, WatchGuard опубликовала индикаторы компрометации, чтобы администраторы могли проверить, не было ли их оборудование уже атаковано. В случае обнаружения подозрительной активности компания рекомендует немедленно сменить все локально хранимые секреты на уязвимых устройствах, включая ключи и пароли.

Этот инцидент вписывается в тревожную последовательность похожих проблем. В сентябре WatchGuard устранила почти идентичную уязвимость удалённого выполнения кода с идентификатором CVE-2025-9242. Уже через месяц исследователи Shadowserver насчитали более 75 тысяч Firebox, оставшихся без обновлений и доступных для атак, преимущественно в Северной Америке и Европе. Спустя ещё несколько недель Агентство по кибербезопасности США признало ту брешь активно эксплуатируемой и обязало федеральные ведомства срочно защитить свои устройства.

Похожая ситуация происходила и ранее. Два года назад CISA уже требовало от государственных структур США закрыть другую активно используемую уязвимость WatchGuard — CVE-2022-23176, затрагивавшую устройства Firebox и XTM. История повторяется, и нынешний случай снова показывает, насколько опасной может быть задержка с установкой обновлений на периметровом оборудовании.

Сегодня решения WatchGuard используются для защиты сетей более чем 250 тысяч малых и средних компаний по всему миру, а партнёрская экосистема производителя насчитывает свыше 17 тысяч сервис-провайдеров и реселлеров. Масштаб распространения делает каждую подобную уязвимость особенно чувствительной: одна неустановленная заплатка может обернуться точкой входа сразу в тысячи корпоративных сетей.