La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) agregó una vulnerabilidad crítica el miércoles Fireware WatchGuard agregado al catálogo de vulnerabilidades explotadas conocidas (KEV) basado en evidencia de explotación activa.
La vulnerabilidad en cuestión es CVE-2025-9242 (puntaje CVSS: 9.3), una vulnerabilidad de escritura fuera de límites que afecta a Fireware OS 11.10.2 hasta 11.12.4_Update1 inclusive, 12.0 hasta 12.11.3 inclusive y 2025.1. WatchGuard lo parchó en septiembre.
“WatchGuard Firebox contiene una vulnerabilidad de escritura fuera de los límites del proceso similar al sistema operativo que podría permitir que un atacante remoto no autenticado ejecute código arbitrario”, dijo CISA en un aviso.
WatchTowr Labs compartió los detalles de la vulnerabilidad el mes pasado. La compañía de ciberseguridad dijo que el problema se debía a que faltaba una verificación de longitud de un búfer de identificación utilizado durante el proceso de protocolo de enlace de IKE.
“El servidor intenta validar el certificado, pero esta validación se produce después de que se haya ejecutado el código vulnerable, por lo que se puede acceder a nuestra ruta hacia el código vulnerable antes de la autenticación”, señaló el investigador de seguridad McCaulay Hudson.
En una actualización de su aviso del 21 de octubre de 2025, WatchGuard dijo que había evidencia de que la vulnerabilidad estaba siendo explotada activamente y compartió tres indicadores de compromiso (IoC) asociados con la actividad:
- Un mensaje de protocolo de solicitud IKE_AUTH con una carga útil IDi de solicitud IKE_AUTH inusualmente grande de más de 100 bytes
- Si el exploit tiene éxito, el proceso IKed se bloquea y rompe las conexiones VPN.
- Después de un exploit fallido o exitoso, el proceso IKed falla y genera un informe de error en el Firebox
Según la Fundación Shadowserver, al 12 de noviembre de 2025, más de 54.300 instancias de Firebox seguían siendo vulnerables a la falla crítica, en comparación con un pico de 75.955 el 19 de octubre.
 |
| Número de instancias expuestas de WatchGuard Firebox |
Alrededor de 18.500 de estos dispositivos se encuentran en los Estados Unidos, según muestran los escaneos. Italia (5.400), Reino Unido (4.000), Alemania (3.600) y Canadá (3.000) conforman los cinco primeros. Se recomienda a las agencias del Poder Ejecutivo Civil Federal (FCEB) que apliquen los parches de WatchGuard antes del 3 de diciembre de 2025.
El desarrollo se produce cuando CISA también agregó CVE-2025-62215 (puntuación CVSS: 7.0), una falla del kernel de Windows recientemente revelada, y CVE-2025-12480 (puntuación CVSS: 9.1), una vulnerabilidad de control de acceso inadecuado en Gladinet Triofox, al catálogo KEV. El equipo Mandiant Threat Defense de Google ha atribuido la explotación de CVE-2025-12480 a un actor de amenazas al que está rastreando como UNC6485.
(La historia se actualizó después de la publicación para incluir información de WatchGuard que confirma los esfuerzos de explotación activos).
About The Author
