WatchGuard ha lanzado una solución que soluciona una falla de seguridad crítica en el sistema operativo Fireware que supuestamente fue explotada en un ataque del mundo real.
La vulnerabilidad se rastrea como CVE-2025-14733 (puntaje CVSS: 9.3) y se describe como un caso de escritura fuera de límites que afecta el proceso iked, permitiendo potencialmente que un atacante remoto no autenticado ejecute código arbitrario.
«Esta vulnerabilidad afecta tanto a las VPN de usuarios móviles que usan IKEv2 como a las VPN de sucursales que usan IKEv2 y que están configuradas con pares de puerta de enlace dinámicos», dijo la compañía en el aviso del jueves.
«Si un Firebox se configuró previamente con Mobile User VPN con IKEv2 o Branch Office VPN con IKEv2 para pares de puerta de enlace dinámica, y ambas configuraciones se eliminan posteriormente, el Firebox aún puede ser vulnerable si todavía está configurado con Branch Office VPN para pares de puerta de enlace estática».
Esta vulnerabilidad afecta a las siguientes versiones del sistema operativo Fireware:
2025.1 – 2025.1.4 Corregido en 12.x – 12.11.6 Corregido en 12.5.x (modelos T15 y T35) – 12.5.15 Corregido en 12.3.1 (versión certificada FIPS) – 12.3.1_Update4 (B728352) 11.x (11.10.2 Corregido a continuación) 11.12.4_Update1) – Fin del soporte
WatchGuard reconoció que ha observado atacantes que intentan activamente explotar esta vulnerabilidad lanzando ataques desde las siguientes direcciones IP:
Curiosamente, Arctic Wolf identificó la dirección IP «199.247.7(.)82» a principios de esta semana como asociada con la explotación de dos vulnerabilidades de seguridad recientemente reveladas (CVE-2025-59718 y CVE-2025-59719, puntuación CVSS: 9.8) en Fortinet FortiOS, FortiWeb, FortiProxy y FortiSwitchManager. También fue señalado por
La empresa con sede en Seattle también comparte múltiples indicadores de compromiso (IoC) que los propietarios de dispositivos pueden utilizar para determinar si sus instancias están infectadas.
Cuando el Firebox recibe una carga útil de autenticación IKE2 que contiene más de 8 certificados, verá el siguiente mensaje de registro: «La cadena de certificados de pares recibida excede 8. Rechace esta cadena de certificados». Solicitud IKE_AUTH con un tamaño de carga CERT inusualmente grande (más de 2000 bytes) Mensaje de registro Un exploit exitoso bloquea el proceso iked e interrumpe la conexión VPN. Si el exploit falla o tiene éxito, el proceso IKED falla y se genera un informe de falla en el Firebox.
Esta divulgación se produce poco más de un mes después de que la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) agregara otra falla crítica en WatchGuard Fireware OS (CVE-2025-9242, puntuación CVSS: 9.3) a su catálogo de vulnerabilidades explotadas conocidas (KEV) luego de informes de explotación activa.
Actualmente se desconoce si estos dos conjuntos de ataques están relacionados. Se recomienda a los usuarios que apliquen actualizaciones lo antes posible para protegerse de las amenazas.
Como mitigación temporal para dispositivos con configuraciones vulnerables de VPN para sucursales (BOVPN), la compañía recomienda que los administradores deshabiliten BOVPN del par dinámico, creen un alias con la dirección IP estática del par BOVPN remoto, agreguen una nueva política de firewall que permita el acceso desde el alias y deshabiliten la política integrada predeterminada que maneja el tráfico VPN.
Source link
