Guilgo Blog

Notas de mi quehacer diario con las técnologias.

Investigadores han documentado un fallo out-of-bounds write en WatchGuard Fireware (CVE-2025-9242) que podría ser explotado por atacantes remotos sin autenticación para ejecutar código arbitrario en dispositivos perimetrales. El defecto está localizado en la función ike2_ProcessPayload_CERT, que copia la identificación del cliente en un buffer de la pila sin realizar la comprobación de longitud adecuada, lo que permite un desbordamiento durante la fase IKE_SA_AUTH del handshake IKEv2. :contentReference[oaicite:0]{index=0}

¿Qué permite el fallo?

  • Explotación pre-autenticada en servicios expuestos a Internet usando IKEv2 (tanto Mobile User VPN como Branch Office VPN con dynamic gateway peer). :contentReference[oaicite:1]{index=1}
  • Capacidad para corromper el flujo de ejecución (control del RIP / program counter) y, según el análisis, conseguir una shell interactiva Python sobre TCP aprovechando mprotect() y sortear protecciones NX/DEP en determinados escenarios. Desde esa foothold se describe un camino para escalar a un shell completo. :contentReference[oaicite:2]{index=2}

Versiones afectadas y parches

La vulnerabilidad afecta a varias ramas de Fireware y ha sido corregida en las siguientes versiones:

  • 2025.1 — corregido en 2025.1.1.
  • 12.x — corregido en 12.11.4.
  • 12.3.1 (FIPS) — corregido en 12.3.1_Update3 (B722811).
  • 12.5.x (T15 & T35) — corregido en 12.5.13.
  • 11.x — alcanzó EOL (end-of-life). :contentReference[oaicite:3]{index=3}

Evaluación de riesgo (breve)

  • CVSS reportado: 9.3 (alta criticidad).
  • Riesgo práctico: elevado cuando el servicio IKEv2 está expuesto a Internet y no se han aplicado los parches — la vulnerabilidad es pre-autenticada y permite ejecución remota de código. WatchTowr Labs la describe con las características atractivas para actores de ransomware. :contentReference[oaicite:4]{index=4}

Recomendaciones rápidas

  1. Aplicar parches: Actualizar Fireware a las versiones corregidas indicadas arriba lo antes posible. :contentReference[oaicite:5]{index=5}
  2. Mitigaciones temporales: Si no es posible parchear inmediatamente, restringir el acceso al servicio IKEv2 desde Internet (por ejemplo, permitir solo IPs conocidas en el firewall de gestión), deshabilitar IKEv2 si no se usa, y revisar logs de conexiones IKE sospechosas.
  3. Respuesta y detección: Revisar dispositivos expuestos y buscar actividad inusual, conexiones entrantes desde IPs desconocidas y signos de explotación (comportamiento inesperado del dispositivo, procesos o conexiones salientes inusuales).
  4. Inventario y priorización: Identificar Fireboxes / appliances con versiones vulnerables y priorizar su actualización según exposición y criticidad en la red.

Referencias

  • Artículo original — The Hacker News. “Researchers Uncover WatchGuard VPN Bug That Could Let Attackers Take Over Devices”. 17 Oct 2025. Fuente y foto: The Hacker News. :contentReference[oaicite:6]{index=6}

source: The Hacker News

Nota técnica: el contenido del post resume y adapta la información publicada por The Hacker News y watchTowr Labs; para pruebas de explotación, IOCs o mitigaciones avanzadas revisa los advisories oficiales de WatchGuard y los análisis técnicos publicados por los investigadores originales (watchTowr Labs). :contentReference[oaicite:7]{index=7}

avatar

Sysadmin, Autodidacta hecho así mismo por culpa de la curiosidad

FEATURED TAGS
amazon android apt-get bugs cpanel debian gaming gentoo gnu gnu/linux htc informatica informática juegos olimpicos kde kernel letsencrypt linux microsoft moviles mysql networking programación rasperrypi satélite seguridad seti ssl sysadmin tasker tech tecnologia tecnología ubuntu ubunutu varios vpn