Lebih dari 115.000 Firewall WatchGuard Terancam Akibat Celah RCE Kritis yang Sedang Dieksploitasi

Lebih dari 115.000 perangkat WatchGuard Firebox yang terhubung ke internet dilaporkan masih belum diperbarui dan tetap rentan terhadap kerentanan remote code execution yang saat ini aktif dieksploitasi oleh pelaku ancaman. Celah keamanan tersebut, yang tercatat sebagai CVE-2025-14733, memengaruhi Firebox yang menjalankan Fireware OS versi 11.x hingga 2025.1.3.

Eksploitasi terhadap celah ini memungkinkan penyerang yang tidak terautentikasi mengeksekusi kode secara remote melalui serangan berkompleksitas rendah tanpa memerlukan interaksi pengguna. WatchGuard menjelaskan bahwa perangkat yang belum ditambal hanya berisiko jika dikonfigurasi menggunakan IKEv2 VPN. Namun, risiko tetap ada meski konfigurasi rentan telah dihapus, terutama jika masih terdapat Branch Office VPN (BOVPN) yang terhubung ke static gateway peer.

Menurut penjelasan dalam advisori NVD, kerentanan ini berasal dari out-of-bounds write pada proses iked di Fireware OS. Kondisi tersebut membuka peluang bagi penyerang untuk mengeksekusi kode secara arbitrer, baik pada konfigurasi mobile user VPN maupun BOVPN yang menggunakan IKEv2 dengan dynamic gateway peer.

WatchGuard telah merilis indikator kompromi untuk membantu administrator mendeteksi potensi penyusupan pada perangkat Firebox. Perusahaan juga menyarankan agar seluruh rahasia yang tersimpan secara lokal segera diganti jika ditemukan aktivitas mencurigakan. Bagi organisasi yang belum dapat melakukan patching, WatchGuard menyediakan langkah mitigasi sementara, termasuk menonaktifkan dynamic peer BOVPN, menambahkan kebijakan firewall baru, serta menonaktifkan kebijakan sistem default yang menangani lalu lintas VPN.

Kelompok pemantau keamanan internet Shadowserver melaporkan bahwa pada akhir pekan, terdapat lebih dari 124.000 instance Firebox yang belum ditambal dan masih terekspos. Angka tersebut hanya turun sedikit menjadi sekitar 117.000 perangkat pada hari berikutnya.

Sehari setelah pembaruan dirilis, CISA memasukkan CVE-2025-14733 ke dalam Known Exploited Vulnerabilities Catalog. Badan keamanan siber AS tersebut juga memerintahkan seluruh lembaga Federal Civilian Executive Branch untuk menambal perangkat Firebox paling lambat 26 Desember, sesuai mandat Binding Operational Directive 22-01. CISA menegaskan bahwa kerentanan semacam ini sering menjadi jalur serangan utama dan menimbulkan risiko signifikan bagi infrastruktur federal.

Celah serupa sebelumnya juga ditemukan pada September melalui CVE-2025-9242, yang kemudian diikuti temuan lebih dari 75.000 perangkat rentan oleh Shadowserver. Dua tahun sebelumnya, CISA juga menginstruksikan penambalan terhadap kerentanan aktif lainnya, CVE-2022-23176, yang memengaruhi Firebox dan XTM.

WatchGuard saat ini bekerja sama dengan lebih dari 17.000 mitra keamanan untuk melindungi jaringan lebih dari 250.000 perusahaan kecil dan menengah di seluruh dunia, menjadikan isu kerentanan ini sangat krusial untuk segera ditangani.