Alerte urgente de WatchGuard sur ses pare-feux Firebox après la découverte d’une vulnérabilité critique exploitée par des cybercriminels. Référencée CVE-2025-14733, avec un score CVSS de 9,3, cette faille est une vulnérabilité d'écriture hors limites (out-of-bounds write) affectant le processus iked, un composant du système d'exploitation WatchGuard Fireware responsable de l'échange de clés IKEv2 dans les VPN IPSec. Selon l'avis de WatchGuard, en exploitant cette faille, « un attaquant distant non authentifié pourrait exécuter du code arbitraire » et prendre le contrôle de l’appliance via l'exécution de code à distance (Remote Code Execution, RCE) sans avoir à se connecter. Étant donné que l’attaque a commencé avant la publication d’un correctif par WatchGuard le 18 décembre, la faille CVE-2025-14733 est une véritable vulnérabilité zero day. Les administrateurs devraient donc vérifier en priorité les appliances Firebox pour détecter tout signe de compromission actuelle ou récente.

L'avis de WatchGuard répertorie quatre adresses IP associées à l'exploitation. Le trafic sortant vers ces adresses est « un indicateur fort de compromission », tandis que les connexions entrantes provenant de ces adresses « pourraient indiquer des efforts de reconnaissance ou des tentatives d'exploitation », indique l'avis. « Lorsque la journalisation est activée, un message de journal de requête IKE_AUTH avec une charge utile CERT anormalement importante supérieure à 2 000 octets, ou des preuves d'un blocage du processus iked sont d'autres forts indicateurs de compromission », a indiqué l’entreprise. Les versions concernées du système d'exploitation Fireware sont les versions 2025.1 à 2025.1.3 incluses, 12.0 à 12.11.5 incluses, et les anciennes versions 11.10.2 à 11.12.4_Update1 incluses. Les versions corrigées sont les versions 2025.1.4, 12.11.6, 12.5.15 (modèles T15 et T35) et 12.3.1_Update4 (B728352) pour la version certifiée FIPS. Il n'existe aucun correctif pour la version 11.x, considérée comme en fin de vie. 

Un correctif qui ne pourrait pas suffire

WatchGuard a cependant averti que l'application du correctif pourrait ne pas suffire : « Si le Firebox était configuré auparavant avec le VPN utilisateur mobile avec IKEv2 ou un VPN de succursale utilisant IKEv2 vers un pair de passerelle dynamique, et que ces deux configurations ont depuis été supprimées, ce Firebox peut encore être vulnérable si un VPN de succursale vers un pair de passerelle statique est toujours configuré. » Certains administrateurs ont même davantage de tâches à accomplir après l'application du correctif, précise le communiqué, qui ajoute : « Outre l'installation de la dernière version du système d'exploitation Fireware contenant le correctif, les administrateurs qui ont confirmé l'activité d'acteurs malveillants sur leurs appliances Firebox doivent prendre des précautions pour faire tourner tous les secrets stockés localement sur les appliances Firebox vulnérables. »

En septembre, WatchGuard avait également corrigé une vulnérabilité similaire de Firebox, référencée CVE-2025-9242 avec un score CVSS de 9.3, qui affectait également la configuration VPN iked. À l'époque, WatchGuard avait déclaré qu'aucune exploitation active n'avait été signalée, mais en octobre, l’entreprise avait révisé cette évaluation après avoir détecté des tentatives d'exploitation. Cela rappelle qu'il ne faut pas considérer les évaluations initiales de vulnérabilité pour ce type d'infrastructure avec trop d'optimisme : l'exploitation est souvent détectée après la divulgation publique d'une faille. Les pare-feux et les VPN sont des cibles privilégiées pour les cybercriminels, et chaque vulnérabilité importante représente un risque clair et immédiat pour la cybersécurité. Malheureusement, les faits montrent que certains clients de WatchGuard ne corrigent pas les vulnérabilités aussi rapidement qu'ils le devraient. En octobre, une analyse effectuée par la Shadowserver Foundation a révélé que plus de 71 000 appliances Firebox n'avaient pas encore corrigé la faille CVE-2025-9242, dont 23 000 aux États-Unis. Malgré son statut « zero-day », il est probable que la situation soit similaire pour la vulnérabilité CVE-2025-14733. La lenteur ou la réticence à appliquer les correctifs pourrait également expliquer pourquoi les pirates informatiques russes « Sandworm » ont récemment ciblé les appliances WatchGuard Firebox et XTM en exploitant des CVE datant de plusieurs années.