# CVE-2025-14733 - Out-of-Bounds Write RCE no WatchGuard Firebox (IKEv2 VPN) > [!critical] > Vulnerabilidade crítica de escrita fora dos limites no processo iked do WatchGuard Fireware OS permite execução remota de código sem autenticação em dispositivos configurados com IKEv2 VPN. CVSS 9.3, exploração ativa confirmada. Adicionada ao CISA KEV apenas 1 dia após o advisory do vendor. ## Visão Geral O CVE-2025-14733 é uma vulnerabilidade de escrita fora dos limites (CWE-787, out-of-bounds write) no processo `iked` (Internet Key Exchange Daemon) do WatchGuard Fireware OS, aplicativo de firewall e VPN corporativo. O processo iked é responsável pelo estabelecimento de conexões VPN autenticadas usando o protocolo IKEv2. Um atacante remoto não autenticado pode enviar tráfego de rede especialmente criado que força o processo a escrever dados fora da área de memória destinada, potencialmente levando à execução de código arbitrário no dispositivo Firebox. A vulnerabilidade afeta dispositivos WatchGuard Firebox configurados com Mobile User VPN (IKEv2) ou Branch Office VPN (IKEv2) usando dynamic gateway peer. Um aspecto crítico é que dispositivos que já tiveram essas configurações no passado - mesmo que deletadas - podem permanecer vulneráveis se ainda houver uma Branch Office VPN com static gateway peer ativa. Isso amplia significativamente a superfície de ataque além do que parece evidente à primeira vista. Os dispositivos WatchGuard Firebox são appliances de segurança de perímetro utilizados por organizações de médio e grande porte. Por serem dispositivos de borda com acesso direto à Internet, esta vulnerabilidade é particularmente atraente para atores maliciosos: permite execução de código antes da autenticação, exatamente no ponto de entrada controlado de redes corporativas. A adição ao CISA KEV apenas um dia após o advisory do vendor (19 de dezembro de 2025, com prazo federal de 26 de dezembro de 2025 - apenas uma semana) reflete a gravidade e a exploração ativa imediata. ## Produtos Afetados | Produto | Versões Vulneráveis | Versão Corrigida | |---------|--------------------|--------------------| | WatchGuard Fireware OS 2025.1 | 2025.1 - 2025.1.3 | 2025.1.4 | | WatchGuard Fireware OS 12.x | 12.0 - 12.11.5 | 12.11.6 | | WatchGuard Fireware OS 12.x (T15/T35) | Versões afetadas | 12.5.15 | | WatchGuard Fireware OS 12.3 (FIPS) | Versões afetadas | 12.3.1_Update4 | | WatchGuard Fireware OS 11.x | 11.10.2 - 11.12.4_Update1 | EoL - sem patch | > [!warning] > Fireware OS 11.x chegou ao fim de vida (EoL) e não receberá patch. Dispositivos neste branch devem ser substituídos ou descomissionados. ## Detalhes Técnicos O processo `iked` gerencia o estabelecimento de túneis VPN via protocolo IKEv2, incluindo troca de chaves, autenticação de certificados e negociação de algoritmos de criptografia. A falha ocorre durante o processamento de payloads de autenticação recebidos, onde verificações inadequadas de limites permitem a escrita fora da área de memória alocada. **Vetor de ataque:** Rede (remoto, sem autenticação) **Protocolo afetado:** IKEv2 (UDP 500/4500) **Pré-requisito:** Dispositivo com IKEv2 VPN configurado com dynamic gateway peer **CVSS 4.0:** 9.3 Critical **Indicadores de tentativa de exploração (IOC de comportamento):** - Erros em logs indicando certificado peer inválido ou chain de certificados maior que 8 certificados em autenticação IKEv2 - Requisições `IKE_AUTH` com payloads CERT anormalmente grandes (> 2000 bytes) - Processo `iked` travado (hang), interrompendo negociações VPN e re-keying ## Mitigação 1. **Atualizar imediatamente** para as versões corrigidas conforme o advisory do WatchGuard: - Fireware OS 2025.1.x: atualizar para 2025.1.4 - Fireware OS 12.x: atualizar para 12.11.6 (ou 12.5.15 para T15/T35) - Fireware OS 12.3 FIPS: atualizar para 12.3.1_Update4 - Fireware OS 11.x: substituir o dispositivo (EoL, sem patch) 2. **Rodar secrets** - Após atualizar, rotacionar todos os segredos armazenados localmente no dispositivo Firebox 3. **Desabilitar IKEv2 VPN** temporariamente se a atualização imediata não for possível 4. **Monitorar logs** - Verificar logs do iked para erros de certificado incomuns ou payloads CERT grandes 5. **Verificar configurações antigas** - Inspecionar se configurações IKEv2 com dynamic peer já existiram no dispositivo, mesmo que removidas > [!latam] > Appliances WatchGuard Firebox são utilizados por empresas de médio porte no Brasil e LATAM como solução de firewall e VPN corporativa. Dispositivos de acesso remoto VPN são alvos prioritários de grupos ransomware e APTs que visam infraestrutura corporativa latino-americana. O padrão de exploração de VPN gateways (similar ao observado com Fortinet, Ivanti e Palo Alto nos anos anteriores) é crescente na região. Organizações com Firebox configurados com IKEv2 devem tratar esta atualização como emergêncial. ## Notas Relacionadas **TTPs:** [[t1190-exploit-public-facing-application|T1190 - Exploit Public-Facing Application]] **Mitigações:** [[m1051-update-software|M1051 - Atualização de Software]] · [[m1030-network-segmentation|M1030 - Segmentação de Rede]] · [[m1031-network-intrusion-prevention|M1031 - Prevenção de Intrusão de Rede]] **Setores em risco:** [[financial]] · [[technology]] · [[critical-infrastructure]] ## Referências - [NVD](https://nvd.nist.gov/vuln/detail/CVE-2025-14733) - [CISA KEV](https://www.cisa.gov/known-exploited-vulnerabilities-catalog) - [Canadian Centre for Cyber Security AL25-020](https://www.cyber.gc.ca/en/alerts-advisories/al25-020-vulnerability-impacting-watchguard-fireware-os-CVE-2025-14733) - [Security Affairs](https://securityaffairs.com/185896/hacking/u-s-cisa-adds-a-flaw-in-watchguard-fireware-os-to-its-known-exploited-vulnerabilities-catalog.html) - [IDTechWire Coverage](https://idtechwire.com/watchguard-firebox-vulnerability-CVE-2025-14733-added-to-cisa-kev-catalog/)