Alerte: vulnérabilité critique RCE dans WatchGuard Fireware OS (CVE-2025-14733) exploitée

Le Centre canadien pour la cybersécurité (Alerte AL25-020, 22 décembre 2025) publie une alerte sur une vulnérabilité critique affectant WatchGuard Fireware OS, en lien avec le bulletin du fournisseur du 18 décembre 2025 et son propre bulletin AV25-850 du 19 décembre 2025.

🚨 Description et impact

• La vulnérabilité CVE-2025-14733 est une écriture hors limite (CWE-787) dans le processus iked (Internet Key Exchange Daemon) utilisé par les connexions VPN IKEv2.
• Elle pourrait permettre à un attaquant éloigné et non authentifié d’exécuter du code arbitraire sur des dispositifs WatchGuard Firebox vulnérables.
• Sont concernés les VPN utilisateur mobile IKEv2 et les VPN de bureau local (BOVPN) IKEv2 lorsque un homologue passerelle dynamique est activé ou l’a déjà été.

⚠️ Exploitation

• Selon des rapports de source ouverte, la faille est exploitée.
• La CISA a ajouté CVE-2025-14733 à sa base KEV le 19 décembre 2025.

🧩 Produits et versions

• WatchGuard Fireware OS versions vulnérables et correctifs disponibles:
  • 2025.1 → 2025.1.4
  • 12.x → 12.11.6
  • 12.5.x (modèles T15 et T35) → 12.5.15
  • 12.3.1 (FIPS) → 12.3.1_Update 4 (B728352)
  • 11.x → Fin de vie

🛠️ Mesures recommandées

• Actualiser immédiatement les dispositifs Firebox vers les versions corrigées de Fireware OS.
• Examiner les journaux système et le trafic réseau pour détecter des indicateurs de compromission (IC), comme indiqué dans le bulletin du fournisseur.
• Appliquer des atténuations si un correctif immédiat n’est pas possible et assurer la rotation de tous les justificatifs d’identité et secrets potentiellement exposés.
• Solutions de contournement temporaires (si patch impossible):
  • Désactiver les configurations BOVPN homologue dynamique.
  • Créer des alias et appliquer de nouvelles politiques de pare-feu pour limiter l’exposition.
  • Désactiver les politiques VPN par défaut.
• Recommandations générales mises en avant: appliquer les correctifs, segmenter/séparer les informations, isoler les applications Web.

ℹ️ IOCs/TTPs

• Aucun IOC ou TTP spécifique n’est détaillé dans l’alerte; se référer au bulletin du fournisseur.

Type d’article: Alerte de sécurité visant à notifier une vulnérabilité critique, son exploitation active, les versions corrigées et les mesures d’atténuation.

---

🔗 Source originale : https://www.cyber.gc.ca/fr/alertes-avis/al25-020-vulnerabilite-visant-systeme-dexploitation-watchguard-fireware-os-cve-2025-14733