Caos Firewall: Oltre 115.000 dispositivi WatchGuard lasciati completamente esposti ad attacchi remoti

In una fredda mattina di dicembre, gli amministratori IT di tutto il mondo si sono svegliati in un incubo: una nuova vulnerabilità, già attivamente sfruttata, aveva lasciato oltre 115.000 firewall WatchGuard Firebox esposti ad attacchi di esecuzione di codice remoto (RCE). Mentre la polvere digitale si deposita, è iniziata la corsa per correggere le difese vitali prima che i cybercriminali violino le porte di accesso.

La vulnerabilità, identificata come CVE-2025-14733, colpisce il cuore dei firewall Firebox di WatchGuard - dispositivi di fiducia per oltre 250.000 piccole e medie imprese in tutto il mondo per la difesa delle loro reti. Il bug risiede nel sistema operativo Fireware, interessando le versioni 11.x e successive, e consente agli attaccanti di eseguire codice dannoso da remoto senza necessità di credenziali valide. L’attacco richiede uno sforzo minimo e nessuna interazione dell’utente, rendendolo un bersaglio ambito dai cybercriminali.

La falla prende di mira in particolare i dispositivi configurati per VPN IKEv2, un metodo comune per l’accesso remoto sicuro. Ma la minaccia non finisce qui: anche dopo aver disabilitato le configurazioni vulnerabili, i firewall possono restare a rischio se alcune impostazioni VPN per filiali (BOVPN) rimangono attive. WatchGuard ha pubblicato indicazioni urgenti, inclusi aggiornamenti correttivi, indicatori di compromissione e soluzioni temporanee per chi non può aggiornare immediatamente.

Il gruppo di monitoraggio della sicurezza Shadowserver ha lanciato l’allarme quando ha rilevato oltre 124.000 dispositivi Firebox non aggiornati ancora accessibili online, con quasi 117.500 esposti solo un giorno dopo il rilascio della patch da parte di WatchGuard. La Cybersecurity and Infrastructure Security Agency (CISA) statunitense non ha perso tempo, aggiungendo la vulnerabilità al suo catalogo delle Vulnerabilità Sfruttate Note e imponendo una scadenza accelerata per l’aggiornamento alle agenzie federali.

Non è la prima volta che i firewall WatchGuard finiscono nel mirino dei cybercriminali. A settembre, una vulnerabilità RCE quasi identica (CVE-2025-9242) aveva lasciato oltre 75.000 dispositivi vulnerabili, e incidenti simili hanno già portato a mandati federali di aggiornamento in passato. Con la vasta base di clienti di WatchGuard e la dipendenza da questi dispositivi per la sicurezza perimetrale, ogni nuova falla genera onde d’urto nella comunità globale della difesa informatica.

Mentre le organizzazioni si affrettano a correggere i firewall, ruotare le credenziali e rafforzare le configurazioni VPN, l’incidente rappresenta un duro promemoria: anche i più fidati sentinelle digitali possono diventare anelli deboli se viene meno la vigilanza. La finestra critica tra la divulgazione e l’applicazione della patch è il momento in cui gli attaccanti colpiscono più duramente - e proprio ora, migliaia di porte restano pericolosamente socchiuse.

WIKICROOK

• Esecuzione di Codice Remoto (RCE): L’esecuzione di codice remoto (RCE) si verifica quando un attaccante esegue il proprio codice su un sistema vittima, spesso ottenendo il pieno controllo o la compromissione di quel sistema.
• Firewall: Un firewall è una barriera digitale che monitora e controlla il traffico di rete per proteggere i sistemi interni da accessi non autorizzati e minacce informatiche.
• IKEv2 VPN: IKEv2 VPN è un protocollo sicuro per la creazione di tunnel VPN criptati, comunemente usato nelle reti aziendali per l’accesso remoto e la forte protezione dei dati.
• Indicatore di Compromissione (IoC): Un indicatore di compromissione (IoC) è un indizio, come un file sospetto o un indirizzo IP, che segnala che un sistema potrebbe essere stato violato.
• Patch: Una patch è un aggiornamento software rilasciato per correggere vulnerabilità di sicurezza o bug nei programmi, aiutando a proteggere i dispositivi dalle minacce informatiche e a migliorarne la stabilità.