Investigadores de ciberseguridad han revelado detalles de una descompostura de seguridad crítica recientemente reparada en WatchGuard Fireware que podría permitir a atacantes no autenticados ejecutar código improcedente.
La vulnerabilidad, rastreada como CVE-2025-9242 (puntaje CVSS: 9.3), se describe como una vulnerabilidad de escritura fuera de límites que afecta a Fireware OS 11.10.2 hasta 11.12.4_Update1 inclusive, 12.0 hasta 12.11.3 inclusive y 2025.1.
«Una vulnerabilidad de escritura fuera de límites en el proceso iked del sistema eficaz WatchGuard Fireware puede permitir que un atacante remoto no autenticado ejecute código improcedente», dijo WatchGuard en un aviso publicado el mes pasado. «Esta vulnerabilidad afecta tanto a la VPN del heredero móvil con IKEv2 como a la VPN de la sucursal que usa IKEv2 cuando se configura con un par de puerta de enlace dinámica».
Se ha abordado en las siguientes versiones:
- 2025.1 – Corregido en 2025.1.1
- 12.x – Corregido en 12.11.4
- 12.3.1 (traducción con certificación FIPS): corregido en 12.3.1_Update3 (B722811)
- 12.5.x (modelos T15 y T35) – Corregido en 12.5.13)
- 11.x – Alcanzó el final de su vida útil
Un nuevo prospección de watchTowr Labs ha descrito CVE-2025-9242 como «todas las características que a las bandas de ransomware de su vecindario les encanta ver», incluido el hecho de que afecta a un servicio expuesto a Internet, es explotable sin autenticación y puede ejecutar código improcedente en un dispositivo perimetral.
La vulnerabilidad, según el investigador de seguridad McCaulay Hudson, tiene su origen en la función «ike2_ProcessPayload_CERT» presente en el archivo «src/ike/iked/v2/ike2_payload_cert.c» que está diseñado para copiar la «identificación» de un cliente en un búfer de pila específico de 520 bytes y luego validar el certificado SSL del cliente proporcionado.
El problema surge como resultado de una comprobación de largo faltante en el búfer de identificación, lo que permite a un atacante desencadenar un desbordamiento y alcanzar la ejecución remota de código durante la escalón IKE_SA_AUTH del proceso de protocolo de enlace utilizado para establecer un túnel de red privada posible (VPN) entre un cliente y el servicio VPN de WatchGuard a través del protocolo de distribución de claves IKE.
«El servidor intenta la subsistencia del certificado, pero esa subsistencia ocurre a posteriori de que se ejecuta el código pusilánime, lo que permite que nuestra ruta de código pusilánime sea accesible ayer de la autenticación», dijo Hudson.
WatchTowr señaló que si acertadamente WatchGuard Fireware OS carece de un shell interactivo como «/bin/bash», es posible que un atacante utilice la descompostura como pertrechos y obtenga el control del registro del puntero de instrucción (igualmente conocido como RIP o contador de software) para crear en última instancia un shell interactivo de Python sobre TCP aprovechando una citación al sistema mprotect(), evitando efectivamente el bit NX (igualmente conocido como bit de no ejecución). mitigaciones.
Una vez que el shell de Python remoto, el punto de apoyo se puede medrar aún más a través de un proceso de varios pasos para obtener un shell de Linux completo:
- Ejecutar directamente execve interiormente de Python para retornar a valer el sistema de archivos como repaso/escritura
- Descarga de un binario BusyBox BusyBox en el objetivo
- Enlace simbólico /bin/sh al binario BusyBox
El expansión se produce cuando watchTowr demostró que una vulnerabilidad de denegación de servicio (DoS) ahora solucionada que afecta la interfaz de heredero de Progress Telerik para AJAX (CVE-2025-3600, puntuación CVSS: 7,5) igualmente puede permitir la ejecución remota de código dependiendo del entorno de destino. Progress Software solucionó la vulnerabilidad el 30 de abril de 2025.
«Dependiendo de la cojín de código de destino (por ejemplo, la presencia de constructores sin argumentos, finalizadores o solucionadores de ensamblajes inseguros) el impacto puede medrar a la ejecución remota de código», dijo el investigador de seguridad Piotr Bazydlo.
A principios de este mes, Sina Kheirkhah de Watchtower igualmente arrojó luz sobre una descompostura crítica de inyección de comandos previamente autenticados en Dell UnityVSA (CVE-2025-36604, puntuación CVSS: 9.8/7.3) que podría resultar en la ejecución remota de comandos. Dell solucionó la vulnerabilidad en julio de 2025 tras la divulgación responsable el 28 de marzo.
