WatchGuard ha publicado correcciones para enfrentarse una error de seguridad crítica en el sistema activo Fireware que, según dijo, ha sido explotada en ataques del mundo auténtico.
Seguimiento como CVE-2025-14733 (Puntuación CVSS: 9,3), la vulnerabilidad se ha descrito como un caso de escritura fuera de límites que afecta al proceso iked y que podría permitir que un atacante remoto no autenticado ejecute código abusivo.
“Esta vulnerabilidad afecta tanto a la VPN del afortunado móvil con IKEv2 como a la VPN de la sucursal que usa IKEv2 cuando se configura con un par de puerta de enlace dinámica”, dijo la compañía en un aviso del jueves.
“Si el Firebox se configuró previamente con la VPN del afortunado móvil con IKEv2 o una VPN de sucursal usando IKEv2 para un par de puerta de enlace dinámica, y ambas configuraciones se han eliminado desde entonces, ese Firebox aún puede ser pasivo si una VPN de sucursal para un par de puerta de enlace estática todavía está configurada”.
La vulnerabilidad afecta a las siguientes versiones del sistema activo Fireware:
- 2025.1 – Corregido en 2025.1.4
- 12.x – Corregido en 12.11.6
- 12.5.x (modelos T15 y T35): corregido en 12.5.15
- 12.3.1 (interpretación con certificación FIPS): corregido en 12.3.1_Update4 (B728352)
- 11.x (11.10.2 hasta 11.12.4_Update1 inclusive) – Fin de vida útil
WatchGuard reconoció que ha observado actores de amenazas que intentan activamente explotar esta vulnerabilidad en la naturaleza, y los ataques se originan desde las siguientes direcciones IP:
Curiosamente, Arctic Wolf incluso marcó la dirección IP “199.247.7(.)82” a principios de esta semana como vinculada a la explotación de dos vulnerabilidades de seguridad recientemente reveladas en Fortinet FortiOS, FortiWeb, FortiProxy y FortiSwitchManager (CVE-2025-59718 y CVE-2025-59719, puntuaciones CVSS: 9,8).
La compañía con sede en Seattle incluso ha compartido múltiples indicadores de compromiso (IoC) que los propietarios de dispositivos pueden usar para determinar si sus propias instancias han sido infectadas.
- Un mensaje de registro que indica “La cautiverio de certificados de pares recibida tiene más de 8. Rechace esta cautiverio de certificados” cuando el Firebox recibe una carga útil de autenticación IKE2 con más de 8 certificados
- Un mensaje de registro de solicitud IKE_AUTH con un tamaño de carga CERT anormalmente magnate (más de 2000 bytes)
- Durante un exploit exitoso, el proceso iked se bloqueará, interrumpiendo las conexiones VPN
- A posteriori de un exploit fallido o exitoso, el proceso IKED fallará y generará un noticia de error en el Firebox
La divulgación se produce poco más de un mes a posteriori de que la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) agregara otra error crítica del sistema activo WatchGuard Fireware (CVE-2025-9242, puntuación CVSS: 9.3) a su catálogo de vulnerabilidades explotadas conocidas (KEV) a posteriori de informes de explotación activa.
Actualmente no se sabe si estos dos conjuntos de ataques están relacionados. Se recomienda a los usuarios que apliquen las actualizaciones lo antaño posible para guarecerse contra la amenaza.
Como mitigación temporal para dispositivos con configuraciones vulnerables de VPN de sucursal (BOVPN), la compañía ha instado a los administradores a deshabilitar las BOVPN dinámicas de pares, crear un apodo que incluya las direcciones IP estáticas de pares BOVPN remotos, sumar nuevas políticas de firewall que permitan el paso desde el apodo y deshabilitar las políticas integradas predeterminadas que manejan el tráfico VPN.
