WatchGuard ha publicado correcciones para abordar una vulnerabilidad crítica en el sistema operativo Fireware que, según se informa, fue explotada en ataques del mundo real.
Seguimiento como CVE-2025-14733 (Puntuación CVSS: 9,3), la vulnerabilidad se describió como un caso de escrituras fuera de límites que afectan el proceso IKed y podrían permitir que un atacante remoto no autenticado ejecute código arbitrario.
“Esta vulnerabilidad afecta tanto a la VPN del usuario móvil con IKEv2 como a la VPN de la sucursal con IKEv2 cuando se configura con un par de puerta de enlace dinámica”, dijo la compañía en un comunicado el jueves.
“Si el Firebox se configuró previamente con una VPN de usuario móvil con IKEv2 o una VPN de sucursal con IKEv2 para un par de puerta de enlace dinámica, y ambas configuraciones se eliminaron desde entonces, este Firebox aún puede ser vulnerable con una VPN de sucursal aún configurada para un par de puerta de enlace estática”.
La vulnerabilidad afecta a las siguientes versiones del sistema operativo Fireware:
- 2025.1 – Corregido en 2025.1.4
- 12.x – Corregido en 12.11.6
- 12.5.x (modelos T15 y T35): corregido en 12.5.15
- 12.3.1 (versión certificada FIPS): corregido en 12.3.1_Update4 (B728352)
- 11.x (11.10.2 hasta 11.12.4_Update1 inclusive) – Fin de vida útil
WatchGuard admitió que ha observado actores de amenazas que intentan activamente explotar esta vulnerabilidad en la naturaleza, con ataques originados desde las siguientes direcciones IP:
Curiosamente, Arctic Wolf también identificó la dirección IP “199.247.7(.)82” a principios de esta semana como vinculada a la explotación de dos vulnerabilidades recientemente reveladas en Fortinet FortiOS, FortiWeb, FortiProxy y FortiSwitchManager (CVE-2025-59718 y CVE-2025-59719, puntuaciones CVSS: 9,8).
La compañía con sede en Seattle también ha publicado varios indicadores de compromiso (IoC) que los propietarios de dispositivos pueden utilizar para determinar si sus propias instancias han sido infectadas.
- Un mensaje de registro que indica “La cadena de certificados de pares recibida es más larga que 8. Rechace esta cadena de certificados” cuando el Firebox recibe una carga útil de autenticación IKE2 con más de 8 certificados
- Un mensaje de protocolo de solicitud IKE_AUTH con un tamaño de carga CERT inusualmente grande (más de 2000 bytes)
- Si el exploit tiene éxito, el proceso IKed se bloquea y rompe las conexiones VPN.
- Después de un exploit fallido o exitoso, el proceso IKED falla y genera un informe de error en el Firebox
La divulgación se produce poco más de un mes después de que la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) agregara otra falla crítica del sistema operativo WatchGuard Fireware (CVE-2025-9242, puntuación CVSS: 9.3) a su Catálogo de vulnerabilidades explotadas conocidas (KEV) luego de informes de explotación activa.
Actualmente se desconoce si estas dos series de ataques están relacionados. Se recomienda a los usuarios que apliquen las actualizaciones lo antes posible para protegerse de la amenaza.
Como solución temporal para dispositivos con configuraciones vulnerables de VPN para sucursales (BOVPN), la compañía ha pedido a los administradores que deshabiliten las BOVPN dinámicas de pares, creen un alias que contenga las direcciones IP estáticas de pares BOVPN remotos, agreguen nuevas políticas de firewall que permitan el acceso a través del alias y deshabiliten las políticas integradas predeterminadas que manejan el tráfico VPN.
About The Author
