Šta se desilo?

Istraživanje ShadowServer Foundation otkrilo je da oko 120.000 WatchGuard Firebox firewall uređaja na globalnom nivou ostaje neažurirano i izloženo kritičnoj ranjivosti u Fireware OS firmware-u. Ranjivost se trenutno aktivno eksploatiše u napada, što je potvrdila američka agencija CISA, a proizvođač je izdao upozorenje sa preporukom za hitnu primenu zakrpe.

Koga pogađa?

Pretežno su ugrožene organizacije i institucije koje koriste WatchGuard Firebox firewall-e za zaštitu VPN pristupa. Najveći broj pogođenih uređaja nalazi se u SAD-u, Nemačkoj, Italiji, Velikoj Britaniji i Kanadi. Riziku su posebno izložene računarske mreže koje koriste IKEv2 VPN konfiguracije, uključujući mobilne korisnike i branch office sisteme.

Kako se zaštititi?

  • Odmah ažurirajte Fireware OS na najnoviju dostupnu verziju
  • Proverite sistem za znakove neobične aktivnosti - IKED proces koji nepredvidivo prestaje sa radom ukazuje na mogući napad
  • Rotacija svih tajnih ključeva i kredencijala koji su skladišteni lokalno na pogođenim uređajima
  • Primenite kontinuirani monitoring VPN tunela za otkrivanje prekida u konekcijama
  • Ako još niste primenili zakrpu, ograničite pristup VPN-u samo na kritične korisnike dok ažuriranje ne bude dovršeno

Tehnički detalji

CVE-2025-14733 je kritična ranjivost sa CVSS skorom 9,3/10 koja se nalazi u IKED (IKE daemon) procesu Fireware OS-a. Neautentifikovani napadač može da izvrši proizvoljan kod slanjem posebno oblikovanih VPN poruka. Ranjivost pogađa IKEv2 VPN konfiguracije i aktivno se eksploatiše. ShadowServer je inicijalno identifikovao približno 125.000 ranjivih IP adresa, a do 21. decembra broj je pao na oko 117.500, što ukazuje da neki korisnici počinju sa primenom zakrpe.

Preporuka Sajber Radara

Ovo je visokoprioritetan sigurnosni incident - administratori WatchGuard Firebox sistema trebaju da primene zakrpu bez odlaganja. Pošto je ranjivost u aktivnoj eksploataciji, svaki neoažurirani uređaj predstavlja direktnu opasnost za mrežnu infrastrukturu organizacije.