Bulletins de Sécurité

Vous êtes confronté à un cyber-incident ?

Notre équipe est à votre disposition en 24/7 au 01 85 09 12 35 et par email cert@login-securite.com

Vulnérabilité critrique dans Watchguard Firebox

Score CVSS :
9.3
Date de publication :
18/12/2025
Date de dernière mise à jour :
19/12/2025
vulnerability icon thumbnail logy cybersecurity

Produits concernés

Fireware OS:

• 2025.1 - Fixé dans la version 2025.1.4

• 12.x - Fixé dans la version 12.11.6

• 12.5.x (T15 & T35 models) - Fixé dans la version 12.5.15

• 12.3.1 (FIPS-certified release) - Fixé dans la version 12.3.1_Update4 (B728352)

• 11.x (11.10.2 jusqu’à 11.12.4_Update1 inclus) - End-of-Life

Prérequis

• Mobile user VPN avec IKEv2

• Office VPN utilisant IKEv2 quand il est configuré avec une passerelle dynamique

• Office VPN configuré avec un pair à passerelle statique si l’une des deux configurations ci-dessus étaient présentes

Risques

• Exécution de code arbitraire

• Accès au réseau interne de l’entreprise

Résumé

Watchguard a publié un avis de sécurité sur une vulnérabilité critique affectant la solution Firebox. Le niveau de criticité est de 9.3.

CVE-2025-14733 : Une vulnérabilité permettant une écriture hors limite du processus IKE pouvant permettre une exécution de code arbitraire à distance.

Durant une exploitation réussi, le processus IKED (responsable de la négociation IKE) va se bloquer, interrompant la négociation. Cela est un indicateur d’attaque important. Les tunnels existants peuvent continuer à transmettre du trafic.

Après une exploitation (réussi ou non), le processus IKE va crash et généré un rapport d’échec sur le Firebox. Cela est un indicateur d’attaque faible dû au fait que d’autres éléments peuvent être à l’origine du crash.

Bien qu'auncun PoC ne semble publiquement disponible pour le moment, des traces d’exploitation par des groupes d’attaquants ont été observées.Étant donné le risque associé, nous préconisons de corriger cette vulnérabilité sans plus attendre.

Solutions

Détection de la compromission :

Afin de vérifier si un équipement est compromis, vous pouvez:

  • Vérifier des traces de connexions sortantes vers les IP suivantes:
    • 45.95.19[.]50
  • • 51.15.17[.]89
  • • 172.93.107[.]67
  • • 199.247.7[.]82
  • Des connexions entrantes indiquent des tentatives d’exploitation de la vulnérabilité

    • • Vérifier la présence de log indiquant une invalidité de la chaine de certificat du pair

    Une erreur est levée si Firebox reçoit une authentification IKE2 avec plus de 8 certificats (configuration par défaut des logs de diagnostique). Cela est un indicateur d’attaque modéré .

    1970-01-01 01:00:00 2025 Firebox-Name local3.err iked[2938]: (203.0.113.1203.0.113.2) Received peer certificate chain is longer than 8. Reject this certificate chain

    • Vérifié la présence de log indiquant une requête IKE_AUTH avec une charge utile CERT volumineuse

    A la réception d’une requête IKE_AUTH, Firebox génère un log. Une charge utile CERT de cette requête ayant un volume important (>2000 Octets) est un indicateur d’attaque important.

    1970-01-01 01:00:00 iked (203.0.113.1203.0.113.2)"IKE_AUTH request" message has 6 payloads [ IDi(sz=21) CERT(sz=3000) SA(sz=44) TSi(sz=24) TSr(sz=24) N(sz=8)]

    Remédiation :

    Mettre à jour vers l’une des versions suivantes:

    • 2025.1.4

    • 12.11.6

    • 12.5.15

    • 12.3.1_Update4 (B728352)

    Le détail est disponible dans le lien en références.

    Références

    https://www.watchguard.com/wgrd-psirt/advisory/wgsa-2025-00027

    Restez informés des dernières menaces !

    Recevez les alertes de sécurité critiques et nos conseils pour protéger votre entreprise.

    Merci pour votre inscription !
    Oups ! Une erreur est survenue lors de l'envoi du formulaire.
    Nos offresNos ExpertisesLe groupe Constellation
    Notre équipeNous rejoindreBlog
    Urgences CyberInformations SOCCommander un Test d'Intrusion
    Conditions Générales de VentesMentions légalesNous contacter
    ©2024 Login Sécurité | Mentions légales et Politique de confidentialité