«¿Certificado? ¿Qué certificado?» — una vulnerabilidad en la VPN de WatchGuard permite a los hackers acceder incluso antes de la autenticación

«¿Certificado? ¿Qué certificado?» — una vulnerabilidad en la VPN de WatchGuard permite a los hackers acceder incluso antes de la autenticación

Investigadores señalan a CVE-2025-9242 como la puerta de entrada ideal para operadores de ransomware.

image

Una vulnerabilidad crítica en el sistema operativo WatchGuard Fireware permite a atacantes ejecutar código arbitrario en los dispositivos sin autorización previa. El problema afecta a los servicios VPN que utilizan el protocolo IKEv2, tanto para la conexión de usuarios móviles como para la organización de conexiones protegidas entre sucursales, si en el dispositivo se configuró una puerta de enlace dinámica.

El error recibió el identificador CVE-2025-9242 y una puntuación de 9.3 en la escala CVSS. Está presente en varias ramas de Fireware OS, incluidas las versiones 11.10.2–11.12.4_Update1, 12.0–12.11.3 y la edición 2025.1. El problema consiste en la falta de comprobación de la longitud del búfer donde se copian los datos de identificación del cliente. Esto permite a un atacante desbordar la pila e inyectar código malicioso durante el establecimiento del túnel VPN. La vulnerabilidad está en la función ike2_ProcessPayload_CERT y puede activarse incluso antes de la verificación del certificado, es decir, sin necesidad de autenticación.

Según la evaluación de los especialistas de WatchTowr Labs, este error representa un punto de entrada ideal para operadores de ransomware: la vulnerabilidad afecta a un servicio accesible desde Internet, no requiere credenciales y permite tomar el control de un dispositivo de red externo. Aunque en Fireware no existe un intérprete completo como /bin/bash, los investigadores demostraron la posibilidad de capturar el registro de instrucciones y ejecutar un intérprete interactivo de Python a través de TCP. Usando la llamada al sistema mprotect(), se puede eludir la protección NX y continuar la explotación hasta ejecutar una shell completa de Linux.

La escalada de privilegios tras lanzar la shell de Python implica varios pasos consecutivos: cambiar el modo de montaje del sistema de archivos a acceso de escritura, cargar el ejecutable BusyBox y crear un enlace simbólico /bin/sh que apunte a ese ejecutable. Después de esto, el atacante obtiene acceso completo al sistema mediante una shell estándar de Linux.

El fabricante corrigió la vulnerabilidad en las versiones 2025.1.1, 12.11.4, 12.3.1_Update3 (compilación certificada FIPS) y 12.5.13 (para los modelos T15 y T35). La rama 11.x ya no recibe soporte. Los fallos en el perímetro de la red siempre atraen la atención de los atacantes, sobre todo cuando para su explotación no se requieren credenciales ni interacción del usuario.

No esperes a que los hackers te ataquen: ¡suscríbete a nuestro canal y conviértete en una fortaleza impenetrable!

Suscribirse