La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) agregó el miércoles una falla de seguridad crítica que afecta Fireware WatchGuard a su catálogo de vulnerabilidades explotadas conocidas (KEV), basándose en evidencia de explotación activa.
La vulnerabilidad en cuestión es CVE-2025-9242 (puntaje CVSS: 9.3), una vulnerabilidad de escritura fuera de límites que afecta a Fireware OS 11.10.2 hasta 11.12.4_Update1 inclusive, 12.0 hasta 12.11.3 inclusive y 2025.1. WatchGuard lo parchó en septiembre.
«WatchGuard Firebox contiene una vulnerabilidad de escritura fuera de límites en el proceso del sistema operativo que puede permitir que un atacante remoto no autenticado ejecute código arbitrario», dijo CISA en un aviso.
Los detalles de la vulnerabilidad fueron compartidos por watchTowr Labs el mes pasado, y la compañía de ciberseguridad afirmó que el problema se debe a una verificación de longitud faltante en un búfer de identificación utilizado durante el proceso de intercambio de IKE.
«El servidor intenta la validación del certificado, pero esa validación ocurre después de que se ejecuta el código vulnerable, lo que permite que nuestra ruta de código vulnerable sea accesible antes de la autenticación», señaló el investigador de seguridad McCaulay Hudson.
En una actualización de su aviso del 21 de octubre de 2025, WatchGuard dijo que tiene evidencia que sugiere una explotación activa de la falla, compartiendo tres indicadores de compromiso (IoC) asociados con la actividad:
- Un mensaje de registro de solicitud IKE_AUTH con una carga útil IDi de solicitud IKE_AUTH anormalmente grande de más de 100 bytes
- Durante un exploit exitoso, el proceso iked se bloqueará, interrumpiendo las conexiones VPN
- Después de un exploit fallido o exitoso, el proceso iked fallará y generará un informe de falla en el Firebox
Según datos de la Fundación Shadowserver, más de 54.300 instancias de Firebox siguen siendo vulnerables al error crítico al 12 de noviembre de 2025, frente a un máximo de 75.955 el 19 de octubre.
 |
| Número de instancias expuestas de WatchGuard Firebox |
Aproximadamente 18.500 de estos dispositivos se encuentran en los EE. UU., revelan los escaneos. Italia (5.400), el Reino Unido (4.000), Alemania (3.600) y Canadá (3.000) completan los cinco primeros. Se recomienda a las agencias del Poder Ejecutivo Civil Federal (FCEB) que apliquen los parches de WatchGuard antes del 3 de diciembre de 2025.
El desarrollo se produce cuando CISA también agregó CVE-2025-62215 (puntuación CVSS: 7.0), una falla recientemente revelada en el kernel de Windows, y CVE-2025-12480 (puntuación CVSS: 9.1), una vulnerabilidad de control de acceso inadecuado en Gladinet Triofox, al catálogo KEV. El equipo Mandiant Threat Defense de Google ha atribuido la explotación de CVE-2025-12480 a un actor de amenazas al que rastrea como UNC6485.
(La historia se actualizó después de la publicación para incluir información de WatchGuard que confirma los esfuerzos de explotación activos).