« Les acteurs malveillants tentent activement d’exploiter cette vulnérabilité dans la nature », prévient le fournisseur.
WatchGuard a émis une alerte de correctif urgent pour ses pare-feu Firebox après avoir découvert une vulnérabilité de niveau critique qui est sous-exploitée par les acteurs malveillants.
Suivie comme CVE-2025-14733, avec un score CVSS de 9,3, la faille est une vulnérabilité d’écriture hors limites affectant le processus iked, un composant du système d’exploitation WatchGuard Fireware responsable de l’échange de clés IKEv2 dans les VPN IPSec.
Selon l’avis de WatchGuard, cette faiblesse pourrait « permettre à un attaquant distant non authentifié d’exécuter du code arbitraire », en prenant le contrôle de l’appliance via l’exécution de code à distance (RCE) sans avoir à se connecter.
Parce qu’il a été attaqué avant qu’un correctif ne soit mis à disposition par WatchGuard le 18 décembre, cela fait de CVE-2025-14733 une véritable vulnérabilité Zero Day. La première tâche des administrateurs doit donc être de vérifier sur les appliances Firebox tout signe de compromission actuelle ou récente.
L’avis de WatchGuard répertorie quatre adresses IP associées à l’exploitation ; le trafic sortant vers eux est « un indicateur fort de compromission », tandis que les connexions entrantes en provenance d’eux « pourraient indiquer des efforts de reconnaissance ou des tentatives d’exploitation », indique l’avis. Avec la journalisation activée, d’autres indicateurs forts étaient un message de journal de requêtes IKE_AUTH avec une charge utile CERT anormalement importante supérieure à 2 000 octets, ou la preuve d’un blocage du processus iked, a indiqué la société.
Les versions du système d’exploitation Fireware concernées sont 2025.1 jusqu’à 2025.1.3 inclus, 12.0 jusqu’à 12.11.5 inclus et 11.10.2 jusqu’à 11.12.4_Update1 inclus.
Les versions résolues sont 2025.1.4, 12.11.6, 12.5.15 (modèles T15 et T35) et 12.3.1_Update4 (B728352) pour la version certifiée FIPS. Il n’existe aucun correctif pour la version 11.x, qui est considérée comme en fin de vie.
Surtout, a averti WatchGuard, les correctifs pourraient ne pas suffire : « Si le Firebox a été précédemment configuré avec le VPN utilisateur mobile avec IKEv2 ou un VPN de succursale utilisant IKEv2 vers un homologue de passerelle dynamique, et que ces deux configurations ont depuis été supprimées, ce Firebox peut toujours être vulnérable si un VPN de succursale vers un homologue de passerelle statique est toujours configuré.
Et certains administrateurs ont encore plus de tâches à effectuer après l’application du correctif, indique-t-il, notant : « en plus d’installer le dernier système d’exploitation Fireware contenant le correctif, les administrateurs qui ont confirmé l’activité des acteurs malveillants sur leurs appliances Firebox doivent prendre des précautions pour alterner tous les secrets stockés localement sur les appliances Firebox vulnérables.
Déjà vu
En septembre, WatchGuard a corrigé une vulnérabilité similaire du Firebox, CVE-2025-9242, affectant également la configuration VPN d’iked et lui attribuant un score CVSS de 9,3. À l’époque, WatchGuard avait déclaré qu’il n’y avait aucun rapport d’exploitation active, mais en octobre, la société avait révisé cette évaluation après la détection de tentatives d’exploitation.
Ceci nous rappelle de ne pas lire les évaluations initiales de vulnérabilité de ce type d’infrastructure de manière trop optimiste : une exploitation est fréquemment détectée après qu’une faille a été rendue publique. Les pare-feu et les VPN sont des cibles majeures pour les cybercriminels, et chaque vulnérabilité importante qu’ils contiennent représente un risque clair et présent en matière de cybersécurité.
Malheureusement, les preuves montrent que certains clients de WatchGuard ne corrigent pas les vulnérabilités aussi rapidement qu’ils le devraient. En octobre, une analyse réalisée par la Shadowserver Foundation a révélé que plus de 71 000 appliances Firebox n’avaient pas encore été corrigées pour CVE-2025-9242, dont 23 000 aux États-Unis. Malgré son statut Zero Day, il est probable que la situation soit similaire pour CVE-2025-14733.
La lenteur ou la réticence à appliquer des correctifs pourrait également expliquer pourquoi des pirates informatiques « Sandworm » alignés sur la Russie ont récemment été découverts ciblant les appliances WatchGuard Firebox et XTM en exploitant des CVE datant de plusieurs années.
