WatchGuard Firewalls’daki Kritik RCE Açığı Hakkında Bilgi
Son yapılan tespitlere göre, 115,000’den fazla WatchGuard Firebox cihazı, uzaktan kod yürütme (RCE) açığına karşı korunmasız durumda. Bu güvenlik açığı, siber saldırganlar tarafından aktif olarak istismar edilmektedir.
“CVE-2025-14733” olarak izlenen bu güvenlik açığı, Firebox güvenlik duvarlarının Fireware OS 11.x ve üstü (11.12.4_Update1 dahil), 12.x ve üstü (12.11.5 dahil) ve 2025.1 versiyonu ile 2025.1.3’e kadar olan sürümlerinde etkili olmaktadır.
Açığın Etkileri ve Saldırı Yöntemleri
Bu güvenlik açığı, kötü niyetli saldırganların, kimlik doğrulaması gerektirmeden, uzaktan rastgele kod yürütmelerine olanak tanımaktadır. Saldırılar, kullanıcı etkileşimi gerektirmeyen düşük karmaşıklıkta gerçekleştirilmekte.
WatchGuard, yaptığı bir duyuruda, CVE-2025-14733 güvenlik güncellemelerini yayımladığını ve bu açığın “doğada istismar edildiğini” belirtti. Unutulmaması gereken bir diğer nokta, saldırıların yalnızca IKEv2 VPN için yapılandırılan cihazları hedef almasıdır. Eğer branş ofis VPN (BOVPN) yapılandırması devam ediyorsa, açığın hala mevcut olabileceği uyarısında bulundu.
Açığın Teknik Detayları
WatchGuard’ın açıkladığı gibi, “Fireware OS iked süreçleri, OS iked süreçlerinde bir taşma yazma açığı içermektedir.” Bu durum, uzaktan yetkisiz bir saldırganın, mobil kullanıcı VPN’leri için IKEv2 ve dinamik geçit eşleri ile yapılandırılmış branş ofis VPN’leri için RCE gerçekleştirmesine yol açabilmektedir.
WatchGuard, kullanıcıların compromised Firebox cihazlarını tespit etmelerine yardımcı olmak için bir dizi ipucu paylaşmış, bu tür durumlarla karşılaşanların cihazlarındaki yerel verileri değiştirmelerini önermiştir. Ayrıca, cihazları hemen güncelleyemeyen ağ savunucuları için geçici bir çözüm sağlanmış, dinamik eş BOVPN’lerin devre dışı bırakılması ve yeni güvenlik duvarı politikaları eklenmesi önerilmiştir.
Durum Tespiti ve CISA’nın Müdahalesi
Shadowserver isimli internet güvenliği izleme grubu, gerçekleştirdiği incelemede 124,658 unpatched Firebox instance’ı tespit etti. Bu sayı, süre zarfında hala 117,490 olarak kaydedilmiştir. CISA, CVE-2025-14733’ü bilinen istismar edilen güvenlik açıkları kataloğuna eklemiş ve federal ajanslardan bu açığı kapatmalarını istemiştir.
CISA, açığın federal yönetimler için önemli bir tehdit oluşturduğunu belirtmiş ve güvenlik güncellemelerinin uygulanmasını önermiştir. BOD 22-01 yönergesi kapsamında, federal sivil yürütme dalının bu ilgili güncellemeleri bir hafta içinde uygulamaları gerekmektedir.
Geçmişteki Benzer Olaylar ve İzlenecek Yol
Geçtiğimiz Eylül ayında, WatchGuard benzer bir RCE açığını (CVE-2025-9242) düzeltmişti. Shadowserver, Bir ay sonrasında, Kuzey Amerika ve Avrupa’da 75,000’den fazla Firebox cihazının bu güvenlik açığına karşı savunmasız olduğunu rapor etti. Yine CISA, bu açığı aktif olarak istismar edilen bir açık olarak tanımlamış ve federal ajanslardan güvenlik tedbirlerini alma gerekliliği vurgulanmıştır.
WatchGuard, dünya genelindeki 250,000’den fazla küçük ve orta ölçekli şirketin ağa güvenliğini sağlamak için 17,000’den fazla güvenlik satıcısı ve hizmet sağlayıcısı ile işbirliği yapmaktadır. Bu tür açıkların farkında olarak gerekli önlemlerin alınması, kullanıcıların güvenliğini artıracaktır.
