La sicurezza perimetrale di migliaia di organizzazioni a livello globale è sotto attacco a causa di una vulnerabilità critica scoperta nei firewall WatchGuard, che espone i dispositivi a rischi di esecuzione remota di codice (RCE) senza necessità di autenticazione. La falla, identificata come CVE-2025-14733, colpisce il sistema operativo Fireware OS ed è già attivamente sfruttata da attori malintenzionati. Secondo i dati di Shadowserver, oltre 115.000 firewall WatchGuard rimangono esposti online senza le necessarie patch, rappresentando un bersaglio facile per intrusioni che potrebbero compromettere intere reti aziendali. La situazione è aggravata dalla bassa complessità dell’attacco, che non richiede alcuna interazione da parte dell’utente, e dall’urgenza segnalata dalla Cybersecurity and Infrastructure Security Agency (CISA), che ha aggiunto la vulnerabilità al suo catalogo delle minacce sfruttate note (KEV).
Cosa leggere
Dettagli tecnici della vulnerabilità CVE-2025-14733
La vulnerabilità CVE-2025-14733 è classificata come un difetto di scrittura fuori dai limiti (out-of-bounds write, CWE-787) che risiede nel processo iked del sistema operativo Fireware OS. Questo processo è responsabile della gestione delle negoziazioni per il protocollo VPN IKEv2. Gli attaccanti remoti non autenticati possono inviare pacchetti appositamente confezionati per innescare questa condizione, sovrascrivendo la memoria e ottenendo il controllo del flusso di esecuzione del dispositivo.
L’aspetto più critico è che la vulnerabilità si manifesta solo in presenza di specifiche configurazioni VPN IKEv2 attive. Queste includono:
- VPN per utenti mobili (Mobile VPN) configurate con IKEv2.
- Collegamenti VPN tra uffici (Branch Office VPN) verso gateway peer dinamici.
Tuttavia, è fondamentale notare che anche dopo aver rimosso queste configurazioni specifiche, il rischio non viene completamente eliminato se rimane attivo un qualsiasi collegamento VPN verso un gateway peer statico. Questo rende la superficie di attacco più ampia di quanto possa apparire inizialmente e richiede una revisione approfondita delle impostazioni di rete.
Prodotti e versioni a rischio
La minaccia riguarda una vasta gamma di dispositivi firewall WatchGuard della serie Firebox, inclusi modelli fisici, virtuali e cloud. Le versioni vulnerabili del Fireware OS spaziano dalla 11.x alla più recente 12.x e alla serie 2025.1.x. Ecco un elenco dei modelli interessati:
- Fireware OS 12.5.x: Modelli T15 e T35.
- Fireware OS 2025.1.x: Modelli T115-W, T125, T125-W, T145, T145-W e T185.
- Fireware OS 12.x: Una vasta gamma di modelli tra cui T20, T25, T40, T45, T55, T70, T80, T85, M270, M290, M370, M390, M470, M570, M590, M670, M690, M440, M4600, M4800, M5600, M5800, oltre a Firebox Cloud, Firebox NV5 e FireboxV.
La diffusione globale di questi dispositivi, particolarmente elevata in Nord America ed Europa, amplifica l’impatto potenziale della vulnerabilità.
Mitigazione e risposta all’incidente
WatchGuard ha risposto prontamente rilasciando l’advisory di sicurezza WGSA-2025-00027 e le relative patch correttive. L’azione immediata raccomandata è l’applicazione degli aggiornamenti software. Per le organizzazioni che non possono aggiornare immediatamente, WatchGuard ha fornito un workaround temporaneo che consiste nel disabilitare i collegamenti VPN con peer dinamici, aggiungere regole firewall per bloccare il traffico IKEv2 sospetto e disabilitare le policy di sistema predefinite per la gestione VPN.
Se si sospetta una compromissione (ad esempio, rilevando indicatori di compromissione nei log), è imperativo procedere con la rotazione di tutte le credenziali memorizzate localmente sul dispositivo, come password amministrative e chiavi pre-condivise VPN, per prevenire accessi persistenti da parte degli attaccanti. La CISA ha imposto alle agenzie federali statunitensi di applicare le correzioni entro il 26 dicembre 2025, sottolineando la gravità della minaccia per le infrastrutture critiche.
Questa vulnerabilità richiama precedenti incidenti di sicurezza su dispositivi WatchGuard, come CVE-2025-9242 e CVE-2022-23176, quest’ultima sfruttata da hacker statali. La ricorrenza di questi problemi evidenzia l’importanza vitale di una gestione proattiva delle patch e di una configurazione sicura dei servizi esposti su internet, in particolare quelli critici come le VPN.
Domande frequenti sulla vulnerabilità dei firewall WatchGuard
Quali firewall WatchGuard sono colpiti dalla vulnerabilità CVE-2025-14733?
La vulnerabilità colpisce una vasta gamma di modelli Firebox con versioni specifiche di Fireware OS, inclusi i dispositivi delle serie T (es. T15, T35, T20, T40, T80), M (es. M270, M370, M470, M570, M670, M4600, M5600) e le versioni virtuali e cloud come FireboxV e Firebox Cloud.
Come posso sapere se il mio firewall WatchGuard è a rischio?
Il tuo dispositivo è a rischio se esegue una versione vulnerabile di Fireware OS (come le serie 11.x, 12.x o 2025.1.x) e ha configurazioni VPN IKEv2 attive, in particolare per utenti mobili o collegamenti tra uffici con peer dinamici. Verifica la versione del firmware e le impostazioni VPN nel pannello di amministrazione.
Cosa devo fare immediatamente per proteggere il mio firewall WatchGuard?
La priorità assoluta è scaricare e installare le patch di sicurezza fornite da WatchGuard nell’advisory WGSA-2025-00027. Se l’aggiornamento non è possibile nell’immediato, applica i workaround temporanei come la disabilitazione dei collegamenti VPN dinamici e l’aggiunta di regole di blocco per il traffico IKEv2.
Gli attaccanti stanno già sfruttando questa vulnerabilità?
Sì, WatchGuard e la CISA hanno confermato che esistono exploit attivi in natura che prendono di mira dispositivi non aggiornati. La CISA ha aggiunto la vulnerabilità al suo catalogo delle minacce sfruttate note (KEV), imponendo alle agenzie federali di applicare le patch entro una scadenza ravvicinata.
