Overview
A WatchGuard divulgou duas vulnerabilidades críticas no Fireware OS que permitem execução remota de código por atacantes não autenticados. As falhas CVE-2025-14733 (CVSS 9.3) e CVE-2025-9242 (CVSS 9.3) afetam o processo iked e envolvem escrita fora dos limites (out-of-bounds write) que pode ser explorada através de conexões VPN configuradas com IKEv2. A empresa confirmou exploração ativa em ambiente real para ambas as vulnerabilidades, com ataques originados de endereços IP específicos já identificados.
As vulnerabilidades afetam dispositivos WatchGuard Firebox que possuem VPN de usuário móvel com IKEv2 habilitada ou VPN branch office usando IKEv2 configurada com dynamic gateway peer. Dispositivos que anteriormente tinham essas configurações e as removeram podem continuar vulneráveis se ainda mantiverem VPN branch office para static gateway peer configurada.
A gravidade é amplificada pela exposição global: dados da Shadowserver Foundation indicam mais de 117.490 instâncias WatchGuard vulneráveis expostas na internet. A CISA adicionou a CVE-2025-9242 ao catálogo de vulnerabilidades exploradas ativamente (KEV) em novembro de 2025 e a CVE-2025-14733 em 19 de dezembro de 2025, exigindo que agências federais americanas apliquem as correções até 26 de dezembro de 2025. Além disso, a WatchGuard identificou IPs dos atacantes e publicou indicadores de comprometimento para auxiliar na detecção de tentativas de exploração de ambas as falhas.
Produtos Afetados
| CVE | Severidade | Produto Afetado |
|---|---|---|
| CVE-2025-14733 | Crítica | WatchGuard Fireware OS versões 2025.1 até anteriores à 2025.1.4, versões 12.x até anteriores à 12.11.6, versões 12.5.x (modelos T15 e T35) até anteriores à 12.5.15, versões 12.3.1 (release FIPS) até anteriores à 12.3.1_Update4 (B728352), todas as versões 11.x (End-of-Life) |
| CVE-2025-9242 | Crítica | WatchGuard Fireware OS versões 2025.1 até anteriores à 2025.1.1, versões 12.x até anteriores à 12.11.4, versões 12.5.x (modelos T15 e T35) até anteriores à 12.5.13, versões 12.3.1 (release FIPS) até anteriores à 12.3.1_Update3 (B722811), todas as versões 11.x (End-of-Life) |
Recomendações
- Atualizar imediatamente todos os dispositivos WatchGuard Firebox para as versões mais recentes corrigidas: 2025.1.4, 12.11.6, 12.5.15 (modelos T15/T35) ou 12.3.1_Update4 (release FIPS) para proteção contra ambas as CVEs
- Verificar logs do sistema para indicadores de comprometimento disponíveis nos advisories oficiais da WatchGuard (WGSA-2025-00027 e WGSA-2025-00015)
- Bloquear tráfego de entrada dos IPs associados aos atacantes
- Para dispositivos que não podem ser atualizados imediatamente e possuem apenas VPN branch office para static gateway peers, implementar workaround temporário seguindo as recomendações da WatchGuard para "Secure Access to Branch Office VPNs that Use IPSec and IKEv2"
- Após confirmar atividade de ameaça no dispositivo, rotacionar todos os segredos compartilhados armazenados no Firebox conforme as práticas recomendadas da WatchGuard
- Monitorar conexões de saída suspeitas para os IPs dos atacantes, que indicam comprometimento confirmado
- Revisar configurações de VPN IKEv2 e desabilitar dynamic gateway peers se não forem essenciais para a operação
- Implementar controles de acesso adicionais e segmentação de rede para limitar o impacto em caso de comprometimento
- Priorizar a atualização de dispositivos expostos à internet que sejam acessíveis externamente
Fontes
- WatchGuard Security Advisory WGSA-2025-00027 - CVE-2025-14733 Firebox iked Out of Bounds Write Vulnerability
- WatchGuard Security Advisory WGSA-2025-00015 - CVE-2025-9242 Firebox iked Out of Bounds Write Vulnerability
- CISA Known Exploited Vulnerabilities Catalog
- The Hacker News - WatchGuard Warns of Active Exploitation of Critical Fireware OS VPN Vulnerability
- The Hacker News - CISA Flags Critical WatchGuard Fireware Flaw Exposing 54,000 Fireboxes to No-Login Attacks
Overview
WatchGuard disclosed two critical vulnerabilities in Fireware OS that allow remote code execution by unauthenticated attackers. The flaws CVE-2025-14733 (CVSS 9.3) and CVE-2025-9242 (CVSS 9.3) affect the iked process and involve an out-of-bounds write that can be exploited through VPN connections configured with IKEv2. The company confirmed active exploitation in real-world environments for both vulnerabilities, with attacks originating from specific IP addresses already identified.
The vulnerabilities affect WatchGuard Firebox devices that have mobile user VPN with IKEv2 enabled or branch office VPN using IKEv2 configured with a dynamic gateway peer. Devices that previously had these configurations removed may remain vulnerable if they still maintain a branch office VPN to a static gateway peer configured.
The severity is amplified by global exposure: data from the Shadowserver Foundation indicates over 117,490 vulnerable WatchGuard instances exposed on the internet. CISA added CVE-2025-9242 to the Known Exploited Vulnerabilities (KEV) catalog in November 2025 and CVE-2025-14733 on December 19, 2025, requiring U.S. federal agencies to apply fixes by December 26, 2025. Additionally, WatchGuard identified attacker IPs and published indicators of compromise to assist in detecting exploitation attempts for both flaws.
Affected Products
| CVE | Severity | Affected Product |
|---|---|---|
| CVE-2025-14733 | Critical | WatchGuard Fireware OS versions 2025.1 up to but not including 2025.1.4, versions 12.x up to but not including 12.11.6, versions 12.5.x (T15 and T35 models) up to but not including 12.5.15, versions 12.3.1 (FIPS release) up to but not including 12.3.1_Update4 (B728352), all 11.x versions (End-of-Life) |
| CVE-2025-9242 | Critical | WatchGuard Fireware OS versions 2025.1 up to but not including 2025.1.1, versions 12.x up to but not including 12.11.4, versions 12.5.x (T15 and T35 models) up to but not including 12.5.13, versions 12.3.1 (FIPS release) up to but not including 12.3.1_Update3 (B722811), all 11.x versions (End-of-Life) |
Recommendations
- Immediately update all WatchGuard Firebox devices to the latest patched versions: 2025.1.4, 12.11.6, 12.5.15 (T15/T35 models), or 12.3.1_Update4 (FIPS release) for protection against both CVEs
- Check system logs for indicators of compromise available in the official WatchGuard advisories (WGSA-2025-00027 and WGSA-2025-00015)
- Block inbound traffic from attacker-associated IPs
- For devices that cannot be updated immediately and have only branch office VPN to static gateway peers, implement temporary workaround following WatchGuard's recommendations for "Secure Access to Branch Office VPNs that Use IPSec and IKEv2"
- After confirming threat activity on the device, rotate all shared secrets stored on the Firebox according to WatchGuard's best practices
- Monitor suspicious outbound connections to attacker IPs, which indicate confirmed compromise
- Review IKEv2 VPN configurations and disable dynamic gateway peers if not essential for operation
- Implement additional access controls and network segmentation to limit impact in case of compromise
- Prioritize updating internet-exposed devices that are externally accessible
Sources
- WatchGuard Security Advisory WGSA-2025-00027 - CVE-2025-14733 Firebox iked Out of Bounds Write Vulnerability
- WatchGuard Security Advisory WGSA-2025-00015 - CVE-2025-9242 Firebox iked Out of Bounds Write Vulnerability
- CISA Known Exploited Vulnerabilities Catalog
- The Hacker News - WatchGuard Warns of Active Exploitation of Critical Fireware OS VPN Vulnerability
- The Hacker News - CISA Flags Critical WatchGuard Fireware Flaw Exposing 54,000 Fireboxes to No-Login Attacks
Overview
WatchGuard divulgó dos vulnerabilidades críticas en Fireware OS que permiten ejecución remota de código por atacantes no autenticados. Las fallas CVE-2025-14733 (CVSS 9.3) y CVE-2025-9242 (CVSS 9.3) afectan el proceso iked e involucran una escritura fuera de límites (out-of-bounds write) que puede ser explotada a través de conexiones VPN configuradas con IKEv2. La empresa confirmó explotación activa en ambientes reales para ambas vulnerabilidades, con ataques originados desde direcciones IP específicas ya identificadas.
Las vulnerabilidades afectan dispositivos WatchGuard Firebox que poseen VPN de usuario móvil con IKEv2 habilitada o VPN branch office usando IKEv2 configurada con dynamic gateway peer. Dispositivos que anteriormente tenían estas configuraciones y las eliminaron pueden continuar vulnerables si aún mantienen VPN branch office para static gateway peer configurada.
La gravedad se amplifica por la exposición global: datos de Shadowserver Foundation indican más de 117.490 instancias WatchGuard vulnerables expuestas en internet. CISA agregó CVE-2025-9242 al catálogo de vulnerabilidades explotadas activamente (KEV) en noviembre de 2025 y CVE-2025-14733 el 19 de diciembre de 2025, exigiendo que agencias federales estadounidenses apliquen las correcciones hasta el 26 de diciembre de 2025. Además, WatchGuard identificó IPs de los atacantes y publicó indicadores de compromiso para ayudar en la detección de intentos de explotación de ambas fallas.
Productos Afectados
| CVE | Severidad | Producto Afectado |
|---|---|---|
| CVE-2025-14733 | Crítica | WatchGuard Fireware OS versiones 2025.1 hasta anteriores a 2025.1.4, versiones 12.x hasta anteriores a 12.11.6, versiones 12.5.x (modelos T15 y T35) hasta anteriores a 12.5.15, versiones 12.3.1 (release FIPS) hasta anteriores a 12.3.1_Update4 (B728352), todas las versiones 11.x (End-of-Life) |
| CVE-2025-9242 | Crítica | WatchGuard Fireware OS versiones 2025.1 hasta anteriores a 2025.1.1, versiones 12.x hasta anteriores a 12.11.4, versiones 12.5.x (modelos T15 y T35) hasta anteriores a 12.5.13, versiones 12.3.1 (release FIPS) hasta anteriores a 12.3.1_Update3 (B722811), todas las versiones 11.x (End-of-Life) |
Recomendaciones
- Actualizar inmediatamente todos los dispositivos WatchGuard Firebox a las versiones más recientes corregidas: 2025.1.4, 12.11.6, 12.5.15 (modelos T15/T35) o 12.3.1_Update4 (release FIPS) para protección contra ambas CVEs
- Verificar logs del sistema para indicadores de compromiso disponibles en los advisories oficiales de WatchGuard (WGSA-2025-00027 y WGSA-2025-00015)
- Bloquear tráfico de entrada de las IPs asociadas a los atacantes
- Para dispositivos que no pueden ser actualizados inmediatamente y poseen solo VPN branch office para static gateway peers, implementar workaround temporal siguiendo las recomendaciones de WatchGuard para "Secure Access to Branch Office VPNs that Use IPSec and IKEv2"
- Después de confirmar actividad de amenaza en el dispositivo, rotar todos los secretos compartidos almacenados en el Firebox conforme a las prácticas recomendadas de WatchGuard
- Monitorear conexiones de salida sospechosas hacia las IPs de los atacantes, que indican compromiso confirmado
- Revisar configuraciones de VPN IKEv2 y deshabilitar dynamic gateway peers si no son esenciales para la operación
- Implementar controles de acceso adicionales y segmentación de red para limitar el impacto en caso de compromiso
- Priorizar la actualización de dispositivos expuestos a internet que sean accesibles externamente
Fuentes
- WatchGuard Security Advisory WGSA-2025-00027 - CVE-2025-14733 Firebox iked Out of Bounds Write Vulnerability
- WatchGuard Security Advisory WGSA-2025-00015 - CVE-2025-9242 Firebox iked Out of Bounds Write Vulnerability
- CISA Known Exploited Vulnerabilities Catalog
- The Hacker News - WatchGuard Warns of Active Exploitation of Critical Fireware OS VPN Vulnerability
- The Hacker News - CISA Flags Critical WatchGuard Fireware Flaw Exposing 54,000 Fireboxes to No-Login Attacks
Central de Conteúdos SEK
Acesse nossa central de conteúdos e confira os mais recentes relatórios e notícias sobre cibersegurança.
Acessar Central de ConteúdosSEK Content Hub
Access our content hub and check out the latest reports and news on cybersecurity.
Access Content HubCentral de Contenidos SEK
Accede a nuestra central de contenidos y consulta los informes y noticias más recientes sobre ciberseguridad.
Acceder a la Central de Contenidos