Investigadores de ciberseguridad han revelado detalles de una falla de seguridad crítica recientemente reparada en WatchGuard Fireware que podría permitir a atacantes no autenticados ejecutar código arbitrario.
La vulnerabilidad, rastreada como CVE-2025-9242 (puntaje CVSS: 9.3), se describe como una vulnerabilidad de escritura fuera de límites que afecta a Fireware OS 11.10.2 hasta 11.12.4_Update1 inclusive, 12.0 hasta 12.11.3 inclusive y 2025.1.
«Una vulnerabilidad de escritura fuera de límites en el proceso iked del sistema operativo WatchGuard Fireware puede permitir que un atacante remoto no autenticado ejecute código arbitrario», dijo WatchGuard en un aviso publicado el mes pasado. «Esta vulnerabilidad afecta tanto a la VPN del usuario móvil con IKEv2 como a la VPN de la sucursal que usa IKEv2 cuando se configura con un par de puerta de enlace dinámica».
Se ha abordado en las siguientes versiones:
- 2025.1 – Corregido en 2025.1.1
- 12.x – Corregido en 12.11.4
- 12.3.1 (versión con certificación FIPS): corregido en 12.3.1_Update3 (B722811)
- 12.5.x (modelos T15 y T35) – Corregido en 12.5.13)
- 11.x – Alcanzó el final de su vida útil
Un nuevo análisis de watchTowr Labs ha descrito CVE-2025-9242 como «todas las características que a las bandas de ransomware de su vecindario les encanta ver», incluido el hecho de que afecta a un servicio expuesto a Internet, es explotable sin autenticación y puede ejecutar código arbitrario en un dispositivo perimetral.
La vulnerabilidad, según el investigador de seguridad McCaulay Hudson, tiene su origen en la función «ike2_ProcessPayload_CERT» presente en el archivo «src/ike/iked/v2/ike2_payload_cert.c» que está diseñado para copiar la «identificación» de un cliente en un búfer de pila local de 520 bytes y luego validar el certificado SSL del cliente proporcionado.
El problema surge como resultado de una verificación de longitud faltante en el búfer de identificación, lo que permite a un atacante desencadenar un desbordamiento y lograr la ejecución remota de código durante la fase IKE_SA_AUTH del proceso de protocolo de enlace utilizado para establecer un túnel de red privada virtual (VPN) entre un cliente y el servicio VPN de WatchGuard a través del protocolo de administración de claves IKE.
«El servidor intenta la validación del certificado, pero esa validación ocurre después de que se ejecuta el código vulnerable, lo que permite que nuestra ruta de código vulnerable sea accesible antes de la autenticación», dijo Hudson.
WatchTowr señaló que si bien WatchGuard Fireware OS carece de un shell interactivo como «/bin/bash», es posible que un atacante utilice la falla como arma y obtenga el control del registro del puntero de instrucción (también conocido como RIP o contador de programa) para generar en última instancia un shell interactivo de Python sobre TCP aprovechando una llamada al sistema mprotect(), evitando efectivamente el bit NX (también conocido como bit de no ejecución). mitigaciones.
Una vez que el shell de Python remoto, el punto de apoyo se puede escalar aún más a través de un proceso de varios pasos para obtener un shell de Linux completo:
- Ejecutar directamente execve dentro de Python para volver a montar el sistema de archivos como lectura/escritura
- Descarga de un binario BusyBox BusyBox en el objetivo
- Enlace simbólico /bin/sh al binario BusyBox
El desarrollo se produce cuando watchTowr demostró que una vulnerabilidad de denegación de servicio (DoS) ahora solucionada que afecta la interfaz de usuario de Progress Telerik para AJAX (CVE-2025-3600, puntuación CVSS: 7,5) también puede permitir la ejecución remota de código dependiendo del entorno de destino. Progress Software solucionó la vulnerabilidad el 30 de abril de 2025.
«Dependiendo de la base de código de destino (por ejemplo, la presencia de constructores sin argumentos, finalizadores o solucionadores de ensamblajes inseguros) el impacto puede escalar a la ejecución remota de código», dijo el investigador de seguridad Piotr Bazydlo.
A principios de este mes, Sina Kheirkhah de Watchtower también arrojó luz sobre una falla crítica de inyección de comandos previamente autenticados en Dell UnityVSA (CVE-2025-36604, puntuación CVSS: 9.8/7.3) que podría resultar en la ejecución remota de comandos. Dell solucionó la vulnerabilidad en julio de 2025 tras la divulgación responsable el 28 de marzo.