WatchGuard hat mit WGSA-2025-00027 eine kritische Schwachstelle in Firebox-Appliances bestätigt. Die als CVE-2025-14733 geführte Out-of-Bounds-Write-Lücke im iked-Prozess von Fireware OS ermöglicht es Angreifern, ohne Authentifizierung aus der Ferne beliebigen Code auszuführen. Der CVSS-Score liegt bei 9,3, WatchGuard beobachtet bereits aktive Exploit-Versuche im Internet.
Betroffen sind Firebox-Systeme mit IKEv2, sowohl bei Mobile-User-VPNs als auch bei Branch-Office-VPNs mit dynamischen Gateway-Peers. Auch Geräte können verwundbar sein, bei denen frühere IKEv2-Konfigurationen zwar gelöscht wurden, aber weiterhin VPNs zu statischen Gegenstellen bestehen. Laut WatchGuard nutzen Angreifer die Lücke gezielt aus, um Konfigurationsdateien und lokale Benutzerinformationen zu exfiltrieren.
Als Hinweise auf Angriffe nennt WatchGuard unter anderem ausgehende Verbindungen zu bekannten IP-Adressen, ungewöhnlich große IKE_AUTH-CERT-Payloads sowie Hänger oder Abstürze des IKED-Prozesses. Die Schwachstelle betrifft Fireware OS 11.10.2 bis 11.12.4_Update1, 12.0 bis 12.11.5 sowie 2025.1 bis 2025.1.3.
Updates stehen inzwischen bereit, unter anderem mit Fireware OS 12.11.6 und 2025.1.4. WatchGuard rät dringend zur sofortigen Aktualisierung. Wurde ein Gerät kompromittiert, müssen zusätzlich alle lokal gespeicherten Geheimnisse und Zugangsdaten rotiert werden. Ein genereller Workaround existiert nicht, lediglich eingeschränkte Übergangslösungen für spezielle VPN-Konfigurationen.
