CVE-2025-14733 adalah sebuah definisi teknis untuk celah keamanan kritis yang baru saja ditemukan dalam sistem firewall WatchGuard Firebox. Secara sederhana, ini adalah bug berjenis Remote Code Execution (RCE) yang memungkinkan penyerang untuk menyusup dan menjalankan perintah berbahaya di perangkat jaringan kalian tanpa perlu izin akses atau autentikasi sama sekali.
Masalah ini sebenarnya berakar dari kelemahan yang disebut sebagai out-of-bounds write. Kalau kalian bayangkan sebuah buku tulis, sistem seharusnya hanya menulis sampai batas garis margin, tapi bug ini membiarkan tulisan (atau dalam hal ini, data berbahaya) meluber keluar batas memori yang seharusnya. Akibatnya, memori sistem jadi korup atau rusak. Nah, kerusakan inilah yang kemudian dimanfaatkan oleh peretas untuk menyuntikkan kode jahat mereka. Yang bikin ngeri, serangan ini dikategorikan sebagai serangan dengan kompleksitas rendah. Artinya, penyerang nggak butuh usaha ekstra keras atau interaksi dari pengguna—seperti mengklik link phising—untuk bisa berhasil membobol pertahanan firewall kalian.
WatchGuard sendiri sudah mewanti-wanti dengan sangat keras agar pengguna segera melakukan patching. Kerentanan ini berdampak pada berbagai versi Fireware OS, mulai dari versi 11.x, 12.x, hingga yang terbaru di seri 2025.1. Sepertinya, hampir semua lini produk mereka yang menjalankan versi OS tersebut berpotensi terkena dampak jika tidak segera diperbarui. Rasanya cukup mengkhawatirkan karena WatchGuard secara eksplisit menyebutkan bahwa para aktor ancaman (threat actors) sudah terdeteksi aktif mencoba mengeksploitasi celah ini di “alam liar” atau internet terbuka. Jadi, ini bukan lagi sekadar teori di atas kertas, tapi serangan yang benar-benar sedang terjadi saat ini.
Salah satu detail teknis yang cukup menarik—sekaligus membingungkan bagi sebagian admin jaringan—adalah kondisi pemicunya. Kerentanan ini secara spesifik terkait dengan konfigurasi VPN IKEv2. Namun, jangan salah sangka dulu, menghapus konfigurasi VPN tersebut nggak serta-merta membuat perangkat kalian aman 100%. WatchGuard menjelaskan bahwa meskipun kalian sudah menghapus konfigurasi mobile user VPN atau branch office VPN yang menggunakan IKEv2 ke dynamic gateway peer, risiko itu masih mengintai. Begitunya sistem bekerja, sisa-sisa celah keamanan ini kayaknya masih bisa terbuka lebar jika kalian masih memiliki konfigurasi branch office VPN ke static gateway peer. Jadi, logikanya agak rumit dan menuntut ketelitian tinggi dalam mengecek konfigurasi lawas.
Karena serangan ini sudah aktif, WatchGuard memberikan solusi sementara bagi organisasi atau perusahaan yang mungkin belum bisa melakukan patching atau update firmware secara langsung karena alasan operasional. Langkah mitigasi ini sifatnya teknis dan harus dilakukan dengan hati-hati agar tidak memutus koneksi yang sah.
Berikut adalah langkah-langkah mitigasi sementara yang disarankan jika kalian belum sempat melakukan update:
- Nonaktifkan Dynamic Peer pada BOVPN
Langkah pertama adalah mematikan fungsi dynamic peer pada konfigurasi Branch Office VPN (BOVPN). Ini sepertinya menjadi jalur utama yang dieksploitasi, sehingga memutus jalur ini bisa mengurangi risiko secara signifikan. - Tambahkan Kebijakan Firewall Baru
Kalian perlu membuat aturan atau policy baru di firewall yang secara spesifik membatasi akses ke fitur-fitur VPN yang rentan. Pastikan aturan ini diletakkan di prioritas atas agar dieksekusi lebih dulu oleh sistem. - Nonaktifkan Kebijakan Sistem Default untuk VPN
Sistem Firebox biasanya punya aturan bawaan (default system policies) yang menangani lalu lintas VPN. Kalian harus menonaktifkan aturan bawaan ini karena di situlah letak celah yang sering luput dari pengawasan. Pengaturan manual yang lebih ketat jauh lebih disarankan dalam kondisi darurat seperti ini.
Situasi ini mengingatkan kita pada kejadian serupa di bulan September lalu, di mana WatchGuard juga harus menambal celah RCE yang hampir identik (CVE-2025-9242). Kurang lebihnya, pola serangannya mirip. Waktu itu, badan pengawas internet Shadowserver menemukan lebih dari 75.000 firewall Firebox yang rentan terhadap serangan tersebut, mayoritas berada di Amerika Utara dan Eropa. Bahkan, badan keamanan siber Amerika Serikat (CISA) sampai harus turun tangan memerintahkan badan federal untuk segera mengamankan perangkat mereka.
Sejarah mencatat bahwa perangkat keamanan jaringan seperti firewall memang sering jadi sasaran empuk. Dua tahun lalu, CISA juga pernah mengeluarkan perintah darurat untuk menambal celah CVE-2022-23176. Pola yang berulang ini menunjukkan bahwa sebegitu canggihnya pun perangkat keamanan kalian, tetap butuh pemeliharaan rutin. Apalagi WatchGuard ini dipakai oleh lebih dari 250.000 perusahaan kecil dan menengah di seluruh dunia. Kalau satu bobol, efek dominonya bisa sangat panjang.
Bagi kalian yang merasa perangkatnya mungkin sudah terlanjur disusupi, WatchGuard menyarankan untuk mengecek indikator kompromi (indicators of compromise) di log sistem. Jika menemukan tanda-tanda aktivitas mencurigakan, segera ganti semua secret atau kata sandi yang tersimpan secara lokal di perangkat tersebut.
Nah, rekan-rekanita, itulah penjelasan mendalam mengenai apa itu CVE-2025-14733. Intinya, ini adalah peringatan serius bagi siapa saja yang mengelola jaringan menggunakan Firebox. Jangan tunda untuk melakukan update ke versi firmware terbaru karena serangan ini tidak menunggu kalian siap. Keamanan data perusahaan atau organisasi rekan-rekanita jauh lebih berharga daripada waktu yang dihabiskan untuk maintenance sebentar. Semoga jaringan kalian tetap aman dan terjaga!