En Bref

• Faille critique (CVE-2025-9242) permettant l’exécution de code à distance sur les pare-feux WatchGuard Firebox.
• Concerne Fireware OS 11.x, 12.x et 2025.1 - des millions d’appareils utilisés dans le monde.
• Seuls les pare-feux configurés avec IKEv2 VPN sont directement à risque, mais des configurations résiduelles peuvent encore exposer les appareils.
• Corrigez dès maintenant : corrigé dans Fireware OS 12.3.1_Update3, 12.5.13, 12.11.4 et 2025.1.1.
• Aucune preuve d’exploitation pour l’instant, mais des vulnérabilités similaires ont déjà été ciblées par des groupes de ransomware.

Fissures dans le Mur : Le danger caché des appareils Firebox

Imaginez le pare-feu de votre entreprise comme un mur de forteresse, construit pour repousser les envahisseurs numériques. Mais que se passerait-il si une faille cachée dans le mortier permettait à un attaquant habile de s’infiltrer, sans être détecté, et de prendre le contrôle de l’intérieur ? C’est le scénario glaçant auquel sont confrontées des dizaines de milliers d’organisations après que WatchGuard a tiré la sonnette d’alarme sur une vulnérabilité critique dans sa gamme de pare-feux Firebox.

Répertorié sous le nom CVE-2025-9242, ce bug de sécurité est causé par ce que les techniciens appellent un « out-of-bounds write » - en somme, une erreur de codage qui permet aux pirates d’écrire des instructions malveillantes dans la mémoire là où ils ne devraient pas. Si elle est exploitée, un attaquant distant pourrait prendre le contrôle de l’appareil et potentiellement s’enfoncer plus profondément dans le réseau de l’entreprise.

Qui est à risque - et pourquoi c’est important

La faille affecte les versions 11.x (désormais en fin de vie), 12.x et la toute dernière 2025.1 de Fireware OS, impactant une large gamme de modèles Firebox utilisés par plus de 250 000 petites et moyennes entreprises à travers le monde. Bien que tous les appareils ne soient pas immédiatement vulnérables, ceux configurés pour utiliser IKEv2 VPN - une méthode courante d’accès distant sécurisé - sont dans la ligne de mire.

Le piège ? Même si les administrateurs pensent avoir sécurisé leurs systèmes en supprimant les configurations VPN à risque, leurs pare-feux pourraient rester vulnérables si certains paramètres hérités subsistent. L’avis de WatchGuard lui-même avertit que les pare-feux avec des VPN de succursale restants vers des pairs à passerelle statique peuvent rester exposés - un fantôme numérique issu de configurations passées.

Leçons du passé : pourquoi il est urgent de corriger

Ce n’est pas la première fois que WatchGuard est confronté au danger. En 2022, la Cybersecurity and Infrastructure Security Agency (CISA) américaine a ordonné aux agences fédérales de corriger un autre bug, activement exploité, dans les appareils Firebox. Et l’an dernier seulement, le tristement célèbre groupe de ransomware Akira a exploité une faille similaire (CVE-2024-40766) dans les pare-feux SonicWall, illustrant à quelle vitesse les groupes criminels exploitent ces faiblesses.

Bien qu’aucune preuve d’exploitation de cette nouvelle faille WatchGuard n’ait encore été détectée, le compte à rebours est lancé. Les cybercriminels considèrent les pare-feux comme des portes dorées : s’ils les compromettent, les richesses du réseau leur sont ouvertes. L’impact sur le marché pourrait être significatif, car WatchGuard collabore avec plus de 17 000 fournisseurs pour sécuriser des entreprises dans le monde entier.

Que devez-vous faire ?

WatchGuard a publié des correctifs pour toutes les versions concernées et recommande une mise à jour immédiate. Pour ceux qui ne peuvent pas corriger tout de suite, des solutions temporaires - comme la désactivation de certains tunnels VPN et le renforcement des règles du pare-feu - sont disponibles, mais ne sont pas infaillibles.

La leçon est claire : dans le jeu du chat et de la souris de la cybersécurité, les paramètres oubliés d’hier peuvent devenir les portes ouvertes de demain. Rester vigilant et appliquer les correctifs rapidement est la seule façon de maintenir les murs de la forteresse debout.