Guilgo Blog

Investigadores han documentado un fallo out-of-bounds write en WatchGuard Fireware (CVE-2025-9242) que podría ser explotado por atacantes remotos sin autenticación para ejecutar código arbitrario en dispositivos perimetrales. El defecto está localizado en la función ike2_ProcessPayload_CERT, que copia la identificación del cliente en un buffer de la pila sin realizar la comprobación de longitud adecuada, lo que permite un desbordamiento durante la fase IKE_SA_AUTH del handshake IKEv2. :contentReference[oaicite:0]{index=0}

¿Qué permite el fallo?

• Explotación pre-autenticada en servicios expuestos a Internet usando IKEv2 (tanto Mobile User VPN como Branch Office VPN con dynamic gateway peer). :contentReference[oaicite:1]{index=1}
• Capacidad para corromper el flujo de ejecución (control del RIP / program counter) y, según el análisis, conseguir una shell interactiva Python sobre TCP aprovechando mprotect() y sortear protecciones NX/DEP en determinados escenarios. Desde esa foothold se describe un camino para escalar a un shell completo. :contentReference[oaicite:2]{index=2}

Versiones afectadas y parches

La vulnerabilidad afecta a varias ramas de Fireware y ha sido corregida en las siguientes versiones:

• 2025.1 — corregido en 2025.1.1.
• 12.x — corregido en 12.11.4.
• 12.3.1 (FIPS) — corregido en 12.3.1_Update3 (B722811).
• 12.5.x (T15 & T35) — corregido en 12.5.13.
• 11.x — alcanzó EOL (end-of-life). :contentReference[oaicite:3]{index=3}

Wazuh ha publicado la 4.9.1, versión que corrige la vulnerabilidad CVE-2025-24016 (deserialización insegura en el Wazuh Server) y que más tarde fue explotada por variantes de Mirai contra servidores expuestos. La mitigación efectiva es actualizar a 4.9.1 o superior en manager, indexer y dashboard, y después elevar agentes para mantener compatibilidad.

Resumen ejecutivo

• CVE-2025-24016 permite RCE en wazuh-manager (v ≥ 4.4.0 y < 4.9.1). Corregido en 4.9.1.
• Hubo explotación activa por botnets Mirai en 2025 contra servidores con API expuesta.
• Wazuh indicó que el bug requiere credenciales de API; con panel o API expuestos y claves débiles, el riesgo es crítico.

Fuentes: CVE/NVD, Release notes 4.9.1, avisos de Akamai/Censys y guía oficial de upgrade.

Chaos Mesh es una herramienta de chaos engineering muy popular en entornos Kubernetes. Permite simular fallos en pods, redes o nodos para probar la resiliencia de las aplicaciones. Sin embargo, durante septiembre de 2025 se han reportado vulnerabilidades críticas bajo el nombre “Chaotic Deputy”, siendo la más grave CVE-2025-59358, que afectan directamente a la seguridad de los clústeres.

Descripción de la vulnerabilidad

• Componente afectado: servidor GraphQL de Chaos Mesh.
• Problema: exposición de endpoints sin autenticación ni control de acceso.
• Impacto: un atacante puede ejecutar consultas maliciosas y manipular recursos internos del clúster.
• Riesgo: permite ejecución remota de comandos (RCE) y escalada de privilegios, pudiendo tomar control total del entorno Kubernetes.

Vectores de ataque