Lunedi 06 Luglio 2026 12:06:50 GMT+02:00

Netcrook

HomeManifesto
News
Techcrook
Geocrook
WikicrookTeamAppContatti
ItalianoEnglishArabic

Cyber Intelligence & Threat Trends

Firewall Frenzy: la falla VPN di WatchGuard sotto assedio mentre gli hacker colpiscono

Pubblicato: 19 Dicembre 2025 13:40Categoria: Cyber Intelligence & Threat TrendsAutore: VULNCRUSADER

Una vulnerabilità critica nel Fireware OS di WatchGuard è attivamente sfruttata, spingendo a patch urgenti e nuove misure difensive.

Tutto è iniziato con un crash sottile-una breve interruzione nella connessione VPN di un’azienda. Ma dietro le quinte, gli aggressori erano già dentro, sfruttando una falla che poteva permettere loro di prendere il controllo dei dispositivi WatchGuard Firebox in tutto il mondo. Con le prove di attacchi reali che aumentano, l’ultima comunicazione d’emergenza di WatchGuard rivela una corsa contro il tempo per correggere una vulnerabilità critica prima che altre organizzazioni cadano vittima.

Il mondo della sicurezza non è nuovo alle vulnerabilità VPN, ma l’ultimo bug nel Fireware OS di WatchGuard-CVE-2025-14733-sta destando allarme a causa dello sfruttamento attivo e del suo potenziale per violazioni devastanti. Con un punteggio CVSS di 9.3, questa falla di scrittura fuori dai limiti nel processo ‘iked’ consente agli aggressori di eseguire codice arbitrario da remoto, consegnando di fatto le chiavi del castello di rete.

La superficie d’attacco è più ampia di quanto molti amministratori possano immaginare. Anche i dispositivi in cui le configurazioni VPN (in particolare VPN per utenti mobili con IKEv2 o VPN tra sedi con IKEv2 e peer dinamici) sono state rimosse possono ancora essere a rischio-finché una VPN tra sedi verso un peer gateway statico resta attiva. Questa vulnerabilità latente significa che le organizzazioni che si affidano a queste configurazioni non possono presumere di essere al sicuro solo perché hanno apportato modifiche recenti.

WatchGuard ha confermato di aver osservato tentativi di attacco in circolazione, con un indirizzo IP in particolare coinvolto anche in recenti attacchi di alto profilo contro prodotti Fortinet. Questo suggerisce un modello: gli attori delle minacce stanno rapidamente scandagliando ed esplorando endpoint VPN su più piattaforme, aumentando l’urgenza di agire immediatamente.

Per i difensori, WatchGuard ha fornito chiari indicatori di compromissione (IoC): voci di log anomale, payload di certificati insolitamente grandi e crash o blocchi improvvisi del processo iked. Queste tracce sono fondamentali affinché le organizzazioni possano verificare se sono già state prese di mira.

Sebbene ora siano disponibili patch per la maggior parte delle versioni supportate di Fireware OS, i sistemi legacy restano esposti a causa dello stato di fine vita. Per chi non può applicare subito la patch, WatchGuard raccomanda di disabilitare i peer VPN dinamici, creare alias firewall restrittivi e aggiornare le policy per limitare l’accesso-misure temporanee che possono guadagnare tempo prezioso.

La divulgazione di questa vulnerabilità arriva a stretto giro da un’altra falla WatchGuard aggiunta al catalogo delle Vulnerabilità Sfruttate Conosciute di CISA solo poche settimane fa, segnalando una campagna in corso contro le infrastrutture di rete. Resta da chiarire se questi attacchi siano collegati, ma il messaggio è inequivocabile: le VPN sono sotto assedio e la compiacenza non è più un’opzione.

Man mano che gli attaccanti diventano più audaci e sofisticati, la sicurezza degli strumenti di accesso remoto come le VPN diventa una battaglia in prima linea. Per le organizzazioni che utilizzano WatchGuard Fireware OS, vigilanza e patch tempestive sono ora questioni di sopravvivenza, non di comodità. La guerra per il perimetro di rete si sta intensificando-e in questo round, gli hacker si muovono velocemente.

WIKICROOK

  • Out: La verifica Out-of-Band conferma l’identità usando un canale separato, come una telefonata o un SMS, per aumentare la sicurezza e prevenire accessi non autorizzati.
  • IKEv2: IKEv2 è un protocollo che configura e gestisce in modo sicuro le connessioni VPN scambiando chiavi di cifratura e autenticando i dispositivi su Internet.
  • Indicatori di Compromissione (IoC): Gli Indicatori di Compromissione (IoC) sono indizi come nomi di file, IP o frammenti di codice che aiutano a rilevare se un sistema informatico è stato violato.
  • CVSS: Il CVSS (Common Vulnerability Scoring System) è uno standard per valutare la gravità delle falle di sicurezza, con punteggi da 0.0 a 10.0.
  • Dynamic Gateway Peer: Un dynamic gateway peer consente alle VPN di collegarsi in modo sicuro a dispositivi remoti con indirizzi IP variabili, usando metodi alternativi di identificazione per l’autenticazione.