Plus d’une trentaine de modèles de firewalls Firebox de WatchGuard sont exposés à une vulnérabilité de connexion VPN. Le correctif proposé ne garantit cependant pas une protection totale.
Le fournisseur de solutions de sécurité WatchGuard a corrigé un problème critique (CVE-2025-9242, score CVSS 9.3 ) affectant plus d’une trentaine de pare-feux Firebox actuels et anciens. Les versions vulnérables sont les suivantes : 2025.1 (T115-W, T125, T125-W, T145, T145-W et T185), 12.x (T20, T25, T40, T45, T55, T70, T80, T85, M270, M290, M370, M390, M470, M570, M590, M670, M690, M440, M4600, M4800, M5600, M5800, Firebox Cloud, Firebox NV5 et FireboxV), 12.5.x (T15 et T35), 12.3.1 (modèles FIPS) et 11.x. Des correctifs sont respectivement à appliquer : 2025.1.1, 12.11.4, 12.5.13 et 12.3.1_Update3 (B722811), sauf pour la 11.x en fin de vie.
Cette faille, de type écriture hors limites dans le processus iked du système d’exploitation WatchGuard Fireware, permet à un attaquant distant non authentifié d’exécuter du code arbitraire. Elle touche les configurations VPN utilisant le protocole IKEv2 [Internet Key Exchange v2], y compris celles des firewalls en succursale – très répandus dans les PME – dont le réseau est configuré avec une passerelle de pair dynamique. Bien qu’aucune preuve d’exploitation n’ait à ce jour été rapportée, il est conseillé d’appliquer les correctifs dès que possible. Les pirates tentés d’exploiter cette faille pourraient cibler le daemon IKE vulnérable à l’aide d’une attaque spécifique via les ports VPN UDP 500 ou UDP 4500 des pare-feux Firebox.
Un scénario d’exploitation possible malgré le correctif
L’application du correctif ne garantit cependant pas une totale protection. « Si le Firebox était précédemment configuré avec le VPN utilisateur mobile avec IKEv2 ou un VPN de succursale utilisant IKEv2 vers une passerelle de pair dynamique et que ces deux configurations ont depuis été supprimées, ce Firebox peut toujours être vulnérable si un VPN de succursale vers une passerelle de pair statique est toujours configuré », prévient la société. Comment une telle anomalie est-elle possible ? On peut supposer que le système d’exploitation Fireware enregistre les configurations IKE de manière persistante, même après les redémarrages, ce qui peut servir à des fins malveillantes. Pour les clients ayant configuré les VPN de leurs succursales comme une passerelle de pair statique, mais qui ne peuvent pas effectuer de mise à jour immédiate pour des raisons opérationnelles, WatchGuard propose des mesures d’atténuation, décrites dans l’article de la base de connaissances intitulé « Accès sécurisé aux VPN de succursales utilisant IPSec et IKEv2 ».
Pare-feux et VPN sont des cibles de choix
Les clients doivent prendre cette mise à jour très au sérieux. Les pare-feux, et en particulier les VPN, sont désormais constamment pris pour cible par les cybercriminels, ce qui rend encore plus crucial le maintien à jour de leur sécurité. Début août, SonicWall avait demandé à ces clients de désactiver la fonction SSLVPN des firewall Gen 7, soupçonnée de contenir une faille de type zero day exploitée par le groupe de ransomware Akira, selon les experts d’Artic Wolf Labs. La semaine dernière, l’Australian Cyber Security Centre avait d’ailleurs déclaré avoir constaté une augmentation des tentatives d’exploitation par le groupe de ransomware Akira ciblant ce type de vulnérabilité. Début 2025, Fortinet a prévenu les utilisateurs de pare-feux FortiGate et leur avait demandé d’examiner minutieusement leurs systèmes pour éviter tout risque de compromission suite à la diffusion de données de configuration et d’informations d’identification VPN volées il y a deux ans.