WatchGuard ha publicado correcciones para corregir una falla de seguridad crítica en el sistema operativo Fireware que, según afirma, ha sido explotada en ataques del mundo real.
Rastreado como CVE-2025-14733 (puntuación CVSS: 9.3), la vulnerabilidad se ha descrito como un caso de escritura fuera de los límites que afecta al proceso IKED y que podría permitir a un atacante remoto no autenticado ejecutar código arbitrario.
«Esta vulnerabilidad afecta tanto a la VPN del usuario móvil con IKEv2 como a la VPN de la sucursal que utiliza IKEv2 cuando se configura con un par de puerta de enlace dinámico», dijo la empresa dijo en un aviso del jueves.
«Si el Firebox se configuró anteriormente con la VPN de usuario móvil con IKEv2 o con una VPN de sucursal que utilizaba IKEv2 para un par de puerta de enlace dinámico, y ambas configuraciones se han eliminado desde entonces, ese Firebox puede seguir siendo vulnerable si aún se configura una VPN de sucursal a un par de puerta de enlace estático».
La vulnerabilidad afecta a las siguientes versiones de Fireware OS:
- 2025.1 - Corregido en 2025.1.4
- 12.x: corregido en 12.11.6
- 12.5.x (modelos T15 y T35): corregido en 12.5.15
- 12.3.1 (versión certificada por FIPS): corregido en 12.3.1_Update4 (B728352)
- 11.x (desde 11.10.2 hasta 11.12.4_Update1 inclusive) - Fin de ciclo de vida
WatchGuard reconoció que ha observado que los actores de amenazas intentan aprovechar activamente esta vulnerabilidad en la naturaleza, y que los ataques se originan en las siguientes direcciones IP:
Curiosamente, la dirección IP «199.247.7 [.] 82" también era marcado publicado por Arctic Wolf a principios de esta semana, en relación con la explotación de dos vulnerabilidades de seguridad recientemente reveladas en Fortinet para TiOS, FortiWeb, FortiProxy y FortiSwitchManager (CVE-2025-59718 y CVE-2025-59719, puntuación CVSS: 9,8).
La empresa con sede en Seattle también ha compartido varios indicadores de compromiso (IOC) que los propietarios de dispositivos pueden utilizar para determinar si sus propias instancias se han infectado -
- Un mensaje de registro que indica: «La cadena de certificados de pares recibida tiene más de 8. Rechaza esta «cadena de certificados» cuando Firebox reciba una carga útil de autenticación de IKE2 con más de 8 certificados
- Un mensaje de registro de solicitudes IKE_AUTH con un tamaño de carga útil CERT anormalmente grande (más de 2000 bytes)
- Durante un ataque exitoso, el proceso de iked se bloqueará e interrumpirá las conexiones VPN
- Tras un ataque fallido o exitoso, el proceso IKED se bloqueará y generará un informe de error en Firebox
La divulgación se produce poco más de un mes después de que la Agencia de Seguridad de Infraestructura y Ciberseguridad de los Estados Unidos (CISA) adicional otra falla crítica del sistema operativo WatchGuard Fireware (CVE-2025-9242, puntuación CVSS: 9.3) en su catálogo de vulnerabilidades explotadas conocidas (KEV) tras recibir informes de explotación activa.
Actualmente no se sabe si estos dos grupos de ataques están relacionados. Se recomienda a los usuarios que apliquen las actualizaciones lo antes posible para protegerse contra la amenaza.
Como medida de mitigación temporal para los dispositivos con configuraciones vulnerables de VPN para sucursales (BOVPN), la empresa ha instó los administradores deben deshabilitar las boVPN entre pares dinámicas, crear un alias que incluya las direcciones IP estáticas de los pares BOVPN remotos, agregar nuevas políticas de firewall que permitan el acceso desde el alias y deshabilitar las políticas integradas predeterminadas que gestionan el tráfico de VPN.