Los investigadores de ciberseguridad han detallado una falla de seguridad crítica recientemente parcheada en WatchGuard Fireware que podría permitir a atacantes no autenticados ejecutar código arbitrario.
Esta vulnerabilidad se rastrea como CVE-2025-9242 (puntaje CVSS: 9.3) y se describe como una vulnerabilidad de escritura fuera de límites que afecta a Fireware OS 11.10.2 y posteriores 11.12.4_Update1, 12.0 y posteriores 12.11.3 y 2025.1.
«Una vulnerabilidad de escritura fuera de límites en el proceso iked en WatchGuard Fireware OS podría permitir que un atacante remoto y no autenticado ejecute código arbitrario», dijo WatchGuard en un aviso publicado el mes pasado. «Esta vulnerabilidad afecta tanto a las VPN de usuarios móviles que usan IKEv2 como a las VPN de sucursales que usan IKEv2 cuando se configuran con pares de puerta de enlace dinámicos».
Este problema se ha resuelto en las siguientes versiones:
2025.1 – Corregido en 2025.1.1 12.x – Corregido en 12.11.4 12.3.1 (versión certificada FIPS) – Corregido en 12.3.1_Update3 (B722811) 12.5.x (modelos T15 y T35) – Corregido en 12.5.13) 11.x – Fin del soporte alcanzado
Un nuevo análisis de watchTowr Labs describe que CVE-2025-9242 tiene «todas las características que a las bandas amigables de ransomware de vecindario les encanta ver», incluido el hecho de que afecta los servicios conectados a Internet, puede explotarse sin autenticación y puede ejecutar código arbitrario en dispositivos perimetrales.
Según el investigador de seguridad McCaulay Hudson, la vulnerabilidad tiene su origen en una función «ike2_ProcessPayload_CERT» ubicada en el archivo «src/ike/iked/v2/ike2_payload_cert.c», que está diseñada para copiar la «identidad» del cliente en un buffer de pila local de 520 bytes y validar el certificado SSL proporcionado por el cliente.
El problema se debe a la falta de una verificación de la longitud del búfer de identidad, lo que permite a un atacante provocar un desbordamiento y habilitar la ejecución remota de código durante la fase IKE_SA_AUTH del proceso de intercambio utilizado para establecer un túnel de red privada virtual (VPN) entre un cliente y el servicio VPN de WatchGuard a través del protocolo de administración de claves IKE.
«El servidor intenta validar el certificado, pero esa validación ocurre después de que se haya ejecutado el código vulnerable, lo que permite alcanzar la ruta del código vulnerable antes de la autenticación», dijo Hudson.
WatchTowr señaló que si bien el sistema operativo WatchGuard Fireware no tiene un shell interactivo como «/bin/bash», un atacante podría utilizar esta falla como arma para obtener el control del registro del puntero de instrucción (también conocido como RIP o contador de programa) y, en última instancia, aprovechar la llamada al sistema mprotect() para generar un shell interactivo de Python sobre TCP, evitando efectivamente el bit NX (también conocido como el bit de no ejecución). medidas de mitigación.
Una vez que tenga un shell Python remoto, puede ampliar aún más su presencia mediante un proceso de varios pasos para obtener un shell Linux completo.
Ejecute execve directamente dentro de Python para volver a montar el sistema de archivos como lectura/escritura. Descargue los archivos binarios de BusyBox al destino. Enlace simbólico /bin/sh a los archivos binarios de BusyBox.
Este desarrollo se produce en medio de la demostración de watchTowr de que una vulnerabilidad de denegación de servicio (DoS) ahora reparada (CVE-2025-3600, puntuación CVSS: 7,5) que afecta a la interfaz de usuario de Progress Telerik para AJAX también podría permitir la ejecución remota de código, dependiendo del entorno de destino. Esta vulnerabilidad fue resuelta por Progress Software el 30 de abril de 2025.
«Dependiendo de la base de código de destino, como la presencia de ciertos constructores sin argumentos, finalizadores o solucionadores de ensamblajes inseguros, el impacto podría extenderse a la ejecución remota de código», dijo el investigador de seguridad Piotr Bajdro.
A principios de este mes, Sina Kheirkhah de Watchtower también reveló una falla crítica de inyección de comandos previamente autenticados en Dell UnityVSA (CVE-2025-36604, puntuación CVSS: 9.8/7.3) que podría conducir a la ejecución remota de comandos. Dell solucionó esta vulnerabilidad en julio de 2025 después de realizar una divulgación responsable el 28 de marzo.
Source link
