Una vulnerabilità zero-day critica, identificata come CVE-2025-14733, ha messo in ginocchio gli amministratori di rete, costringendoli a una corsa contro il tempo per proteggere i loro sistemi.
Questa falla, con un punteggio CVSS di 9,3 rilevata sui firewall WatchGuard, è davvero pericolosa: consente ad aggressori non autenticati di eseguire codice arbitrario e assumere il controllo dei firewall aziendali.
E il fatto che gli autori delle minacce stiano già tentando di sfruttare questa vulnerabilità non fa che aumentare l’allarme. Vediamo quindi di capire meglio cosa sta succedendo e come questa vulnerabilità possa essere sfruttata dagli aggressori.
 Avvio delle iscrizioni al corso Cyber Offensive Fundamentals Vuoi smettere di guardare tutorial e iniziare a capire davvero come funziona la sicurezza informatica? La base della sicurezza informatica, al di là di norme e tecnologie, ha sempre un unico obiettivo: fermare gli attacchi dei criminali informatici. Pertanto "Pensa come un attaccante, agisci come un difensore". Ti porteremo nel mondo dell'ethical hacking e del penetration test come nessuno ha mai fatto prima. Per informazioni potete accedere alla pagina del corso oppure contattarci tramite WhatsApp al numero 379 163 8765 oppure scrivendoci alla casella di posta [email protected].
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Il processo iked, che gestisce le negoziazioni IKEv2 (Internet Key Exchange) per le VPN, presenta una vulnerabilità che risiede nella sua capacità di essere sfruttata per eseguire operazioni non previste. Gli aggressori possono, da remoto, causare un errore di tipo “Out-of-bounds Write”, il quale comporta la corruzione della memoria. Questa falla permette agli attaccanti di influenzare il comportamento del sistema.
Inviando pacchetti dannosi appositamente creati all’interfaccia VPN del firewall, un aggressore può bloccare il servizio o, peggio, iniettare i propri comandi con privilegi a livello di sistema.
Ciò che rende questa vulnerabilità particolarmente insidiosa è la sua persistenza. Prende di mira le configurazioni VPN per utenti mobili e VPN per filiali che utilizzano IKEv2. Tuttavia, disattivare semplicemente la funzionalità potrebbe non essere sufficiente.
L’avviso mette in guardia da uno scenario di configurazione “zombie”: “Se Firebox era precedentemente configurato con la VPN dell’utente mobile con IKEv2… ed entrambe le configurazioni sono state successivamente eliminate, Firebox potrebbe essere ancora vulnerabile se è ancora configurata una VPN di filiale verso un peer gateway statico”.
WatchGuard ha rilasciato specifici indicatori di attacco (IoA) per aiutare i difensori a capire se sono già sotto attacco. Gli aggressori lasciano impronte digitali nei log. Un segnale rivelatore di un tentativo di exploit è un payload di certificato insolitamente grande.
Inoltre, i seguenti indirizzi IP sono stati direttamente collegati alla campagna di sfruttamento attiva: 45.95.19[.]50, 51.15.17[.]89, 172.93.107[.]67, 199.247.7[.]82. La vulnerabilità interessa un’ampia gamma di versioni del sistema operativo Fireware, tra cui 12.x e 2025.1. WatchGuard ha rilasciato versioni con patch (2025.1.4, 12.11.6 e 12.5.15) e sollecita aggiornamenti immediati.
Tuttavia, applicare una patch al software è solo il primo passo. Poiché la falla consente la compromissione totale del dispositivo, un dispositivo con patch potrebbe comunque nascondere segreti rubati.
Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.
Vulnerabilità
Cultura
Cyberpolitica
Cybercrime
Cybercrime