CVE-2025-14733

Анализ

Уязвимость CVE-2025-14733 представляет собой возможность записи за пределами границ буфера в процессе iked операционной системы WatchGuard Fireware OS. Этот баг может позволить удаленному злоумышленнику без аутентификации выполнить произвольный код и затрагивает как мобильные VPN-соединения с использованием IKEv2, так и VPN-соединения между филиалами, использующие IKEv2, когда они настроены с динамическим пированным шлюзом.

Устранение

Для устранения уязвимости CVE-2025-14733 необходимо обновить WatchGuard Fireware OS до версии, в которой исправлена эта уязвимость. Рекомендуется следовать следующим шагам: - Проверьте текущую версию WatchGuard Fireware OS на вашем устройстве. - Посетите официальный сайт WatchGuard для получения информации о последних обновлениях безопасности и загрузки патча для CVE-2025-14733. - Загрузите и установите патч или обновите систему до рекомендуемой версии. - Перезагрузите устройство после обновления, чтобы изменения вступили в силу.

# Пример команды для обновления WatchGuard Fireware OS
# Пожалуйста, замените "новая_версия" на фактический номер версии патча
update-fireware -v новая_версия

Временные меры

Если обновление системы невозможно в данный момент, можно принять временные меры для снижения риска эксплуатации уязвимости: - Отключите IKEv2 для мобильных VPN-соединений и VPN-соединений между филиалами, если это не критически важно для вашей инфраструктуры. - Настройте брандмауэр (WAF) для блокировки входящих соединений IKEv2, если это возможно и не нарушает необходимую функциональность. - Ограничьте доступ к VPN-соединениям только доверенным IP-адресам или сетям, чтобы минимизировать потенциальную атаку.

# Пример команды для блокировки входящих IKEv2-соединений на WAF
# Пожалуйста, замените "WAF_команда" на фактическую команду вашего WAF
WAF_команда --block-ikev2