Investigadores de ciberseguridad han revelado detalles de una rotura de seguridad crítica recientemente reparada en WatchGuard Fireware que podría permitir a atacantes no autenticados ejecutar código abusivo.
La vulnerabilidad, rastreada como CVE-2025-9242 (puntaje CVSS: 9.3), se describe como una vulnerabilidad de escritura fuera de límites que afecta a Fireware OS 11.10.2 hasta 11.12.4_Update1 inclusive, 12.0 hasta 12.11.3 inclusive y 2025.1.
“Una vulnerabilidad de escritura fuera de límites en el proceso iked del sistema eficaz WatchGuard Fireware puede permitir que un atacante remoto no autenticado ejecute código abusivo”, dijo WatchGuard en un aviso publicado el mes pasado. “Esta vulnerabilidad afecta tanto a la VPN del heredero móvil con IKEv2 como a la VPN de la sucursal que usa IKEv2 cuando se configura con un par de puerta de enlace dinámica”.
Se ha abordado en las siguientes versiones:
- 2025.1 – Corregido en 2025.1.1
- 12.x – Corregido en 12.11.4
- 12.3.1 (lectura con certificación FIPS): corregido en 12.3.1_Update3 (B722811)
- 12.5.x (modelos T15 y T35) – Corregido en 12.5.13)
- 11.x – Alcanzó el final de su vida útil
Un nuevo exploración de watchTowr Labs ha descrito CVE-2025-9242 como “todas las características que a las bandas de ransomware de su vecindario les encanta ver”, incluido el hecho de que afecta a un servicio expuesto a Internet, es explotable sin autenticación y puede ejecutar código abusivo en un dispositivo perimetral.
La vulnerabilidad, según el investigador de seguridad McCaulay Hudson, tiene su origen en la función “ike2_ProcessPayload_CERT” presente en el archivo “src/ike/iked/v2/ike2_payload_cert.c” que está diseñado para copiar la “identificación” de un cliente en un búfer de pila particular de 520 bytes y luego validar el certificado SSL del cliente proporcionado.
El problema surge como resultado de una demostración de largura faltante en el búfer de identificación, lo que permite a un atacante desencadenar un desbordamiento y conseguir la ejecución remota de código durante la período IKE_SA_AUTH del proceso de protocolo de enlace utilizado para establecer un túnel de red privada supuesto (VPN) entre un cliente y el servicio VPN de WatchGuard a través del protocolo de dependencia de claves IKE.
“El servidor intenta la fuerza del certificado, pero esa fuerza ocurre a posteriori de que se ejecuta el código delicado, lo que permite que nuestra ruta de código delicado sea accesible antaño de la autenticación”, dijo Hudson.
WatchTowr señaló que si proporcionadamente WatchGuard Fireware OS carece de un shell interactivo como “/bin/bash”, es posible que un atacante utilice la rotura como arsenal y obtenga el control del registro del puntero de instrucción (asimismo conocido como RIP o contador de software) para difundir en última instancia un shell interactivo de Python sobre TCP aprovechando una señal al sistema mprotect(), evitando efectivamente el bit NX (asimismo conocido como bit de no ejecución). mitigaciones.
Una vez que el shell de Python remoto, el punto de apoyo se puede subir aún más a través de un proceso de varios pasos para obtener un shell de Linux completo:
- Ejecutar directamente execve en el interior de Python para retornar a sumar el sistema de archivos como leída/escritura
- Descarga de un binario BusyBox BusyBox en el objetivo
- Enlace simbólico /bin/sh al binario BusyBox
El crecimiento se produce cuando watchTowr demostró que una vulnerabilidad de denegación de servicio (DoS) ahora solucionada que afecta la interfaz de heredero de Progress Telerik para AJAX (CVE-2025-3600, puntuación CVSS: 7,5) asimismo puede permitir la ejecución remota de código dependiendo del entorno de destino. Progress Software solucionó la vulnerabilidad el 30 de abril de 2025.
“Dependiendo de la colchoneta de código de destino (por ejemplo, la presencia de constructores sin argumentos, finalizadores o solucionadores de ensamblajes inseguros) el impacto puede subir a la ejecución remota de código”, dijo el investigador de seguridad Piotr Bazydlo.
A principios de este mes, Sina Kheirkhah de Watchtower asimismo arrojó luz sobre una rotura crítica de inyección de comandos previamente autenticados en Dell UnityVSA (CVE-2025-36604, puntuación CVSS: 9.8/7.3) que podría resultar en la ejecución remota de comandos. Dell solucionó la vulnerabilidad en julio de 2025 tras la divulgación responsable el 28 de marzo.
