O cenário de segurança informática enfrenta um novo alerta vermelho, desta vez direcionado aos administradores de rede que utilizam equipamentos da WatchGuard. Mais de 115.000 dispositivos Firebox permanecem expostos online e sem a correção necessária para uma vulnerabilidade crítica de execução remota de código (RCE), que já está a ser ativamente explorada por agentes maliciosos.
A falha, identificada como CVE-2025-14733, afeta as firewalls Firebox que operam com o sistema operativo Fireware OS nas versões 11.x e posteriores (incluindo 11.12.4_Update1), 12.x ou posteriores (incluindo 12.11.5), e a série 2025.1 até à versão 2025.1.3.
Se explorada com sucesso, esta vulnerabilidade permite que atacantes não autenticados executem código arbitrário remotamente nos dispositivos vulneráveis. O ataque é considerado de baixa complexidade e não requer qualquer interação por parte do utilizador, conforme detalhado no aviso do NVD.
O perigo reside na VPN
A WatchGuard esclareceu que os equipamentos Firebox não atualizados estão vulneráveis apenas se estiverem configurados para utilizar IKEv2 VPN. No entanto, a empresa deixa um aviso importante: mesmo que as configurações vulneráveis sejam removidas, a firewall pode continuar em risco se uma VPN de Branch Office (BOVPN) para um gateway estático ainda estiver configurada.
O problema técnico reside no processo iked do Fireware OS, que contém uma vulnerabilidade de escrita fora dos limites (out of bounds write). Isto coloca em risco tanto a VPN de utilizadores móveis com IKEv2 como a VPN de escritório remoto que utilize o mesmo protocolo quando configurada com um gateway dinâmico.
A dimensão do problema foi trazida à luz pelo grupo de monitorização Shadowserver, que detetou no passado sábado mais de 124.658 instâncias Firebox não corrigidas e expostas na Internet. No domingo, esse número mantinha-se preocupantemente alto, com cerca de 117.490 dispositivos ainda vulneráveis.
CISA emite ordem de correção urgente
A gravidade da situação levou a Agência de Cibersegurança e Infraestrutura dos EUA (CISA) a adicionar a falha ao seu catálogo de Vulnerabilidades Exploradas Conhecidas (KEV) apenas um dia após a WatchGuard ter lançado as correções. A agência ordenou que as entidades federais norte-americanas apliquem as atualizações de segurança até ao dia 26 de dezembro, sublinhando que este tipo de falha é um vetor de ataque frequente e representa um risco significativo.
A WatchGuard partilhou indicadores de compromisso para ajudar os administradores a identificar se as suas firewalls foram comprometidas. A recomendação principal é a rotação de todos os segredos (palavras-passe e chaves) armazenados localmente nos dispositivos afetados caso sejam detetados sinais de atividade maliciosa.
Para quem não consegue aplicar o patch imediatamente, a empresa forneceu uma solução temporária que envolve desativar as BOVPNs de pares dinâmicos, adicionar novas políticas de firewall e desativar as políticas de sistema padrão que gerem o tráfego VPN.
Este episódio surge poucos meses depois de, em setembro, a WatchGuard ter corrigido uma vulnerabilidade RCE quase idêntica (CVE-2025-9242), que na altura também deixava dezenas de milhares de dispositivos expostos, maioritariamente na América do Norte e Europa.
Nenhum comentário
Seja o primeiro!