Los investigadores de ciberseguridad han revelado detalles de una falla de seguridad crítica recientemente corregida en WatchGuard Fireware que podría permitir a atacantes no autenticados ejecutar código arbitrario.
La vulnerabilidad, rastreada como CVE-2025-9242 (puntuación CVSS: 9.3), se describe como una vulnerabilidad de escritura fuera de los límites que afecta a Fireware OS 11.10.2 hasta 11.12.4_Update1, 12.0 hasta 12.11.3 y 2025.1 inclusive.
«Una vulnerabilidad de escritura fuera de los límites en el sistema operativo WatchGuard Fireware gustado El proceso puede permitir a un atacante remoto no autenticado ejecutar código arbitrario», dijo WatchGuard en un aviso publicado el mes pasado. «Esta vulnerabilidad afecta tanto a la VPN de los usuarios móviles con IKEv2 como a la VPN de las sucursales que utilizan IKEv2 cuando se configuran con una puerta de enlace dinámica del mismo nivel».
Se ha abordado en las siguientes versiones:
- 2025.1 - Corregido en 2025.1.1
- 12.x: corregido en 12.11.4
- 12.3.1 (versión certificada por FIPS): corregido en 12.3.1_Update3 (B722811)
- 12.5.x (modelos T15 y T35) (corregido en 12.5.13)
- 11.x: Se ha llegado al final de su vida útil
Un nuevo análisis de WatchTowr Labs describe el CVE-2025-9242 como «todas las características que a las bandas de ransomware de tu vecindario les encanta ver», incluido el hecho de que afecta a un servicio expuesto a Internet, es explotable sin autenticación y puede ejecutar código arbitrario en un dispositivo perimetral.
La vulnerabilidad, según el investigador de seguridad McCaulay Hudson, tiene su origen en la función «IKE2_ProcessPayload_cert» presente en el archivo «src/ike/iked/v2/ike2_payload_cert.c», que está diseñada para copiar la «identificación» de un cliente a un búfer de pila local de 520 bytes y, a continuación, validar el certificado SSL del cliente proporcionado.
El problema se debe a que falta una comprobación de longitud en el búfer de identificación, lo que permite a un atacante provocar un desbordamiento y lograr la ejecución remota de código durante el Fase IKE_SA_AUTH del proceso de enlace utilizado para establecer un túnel de red privada virtual (VPN) entre un cliente y el servicio VPN de WatchGuard mediante el protocolo de administración de claves IKE.
«El servidor intenta validar el certificado, pero esa validación se realiza una vez que se ejecuta el código vulnerable, lo que permite acceder a nuestra ruta de código vulnerable antes de la autenticación», dijo Hudson dijo .
WatchTowr señaló que, si bien WatchGuard Fireware OS carece de un shell interactivo como «/bin/bash», un atacante puede convertir la falla en un arma y hacerse con el control del registro del puntero de instrucciones (también conocido como RIP o contador de programas) para, en última instancia, generar un shell interactivo de Python a través de TCP mediante el uso de un llamada al sistema mprotect () , con eficacia desviando Broca NX mitigaciones (también conocidas como bits sin ejecución).
Una vez que el shell de Python remoto, el punto de apoyo se puede escalar aún más mediante un proceso de varios pasos para obtener un shell de Linux completo -
- Ejecutar execve directamente en Python para volver a montar el sistema de archivos como lectura/escritura
- Descargar un binario BusyBox busybox en el objetivo
- Enlazar simbólicamente /bin/sh al binario BusyBox
El desarrollo se produce cuando WatchTowr demostró que una vulnerabilidad de denegación de servicio (DoS) ahora corregida que afectaba a la interfaz de usuario de Progress Telerik para AJAX ( CVE-2025-3600 , puntuación CVSS: 7.5) también puede permitir la ejecución remota de código en función del entorno de destino. La vulnerabilidad era dirigido por Progress Software el 30 de abril de 2025.
«Según el código base de destino (por ejemplo, la presencia de determinados constructores, finalizadores o solucionadores de ensambladores inseguros sin argumentos), el impacto puede derivar en la ejecución remota de código», dijo el investigador de seguridad Piotr Bazydlo dijo .
A principios de este mes, Sina Kheirkhah de Watchtower también arrojar luz sobre una falla crítica de inyección de comandos preautenticados en Dell UnityVSA ( CVE-2025-36604 , puntuación CVSS: 9,8/7,3) que podría provocar la ejecución remota de comandos. Dell remediado la vulnerabilidad en julio de 2025 tras la divulgación responsable el 28 de marzo.