Vulnerabilidad crítica en VPN de WatchGuard permite ejecución remota

Vulnerabilidad crítica en la VPN de WatchGuard permite la ejecución remota de código

Tiempo estimado de lectura: 5 minutos
Dificultad técnica: Alta

Conclusiones clave

• Identificada la vulnerabilidad CVE-2025-9242 en el sistema operativo Fireware de WatchGuard.
• Permite ejecución remota de código sin autentificación previa, con un puntaje CVSS de 9.3.
• Afecta versiones desde la 11.10.2 hasta la 2025.1, incluyendo las VPN para usuarios móviles y oficinas remotas.
• Se aconseja a los administradores actualizar a versiones corregidas de inmediato.
• El riesgo incluye accesos no autorizados a información sensible y potencial interrupción de servicios críticos.

Índice

• Vulnerabilidad identificada
• Función vulnerable
• Método de explotación
• Recomendaciones de mitigación

Vulnerabilidad identificada

Recientemente, expertos en ciberseguridad han identificado una vulnerabilidad crítica en el sistema operativo Fireware de WatchGuard, afectando versiones que varían desde la 11.10.2 hasta la 2025.1. Esta falla, etiquetada como CVE-2025-9242, cuenta con un elevado puntaje de 9.3 en la escala CVSS. Permite a atacantes remotos ejecutar códigos de manera arbitraria sin requerir autenticación previa, representando así un grave riesgo para las empresas y usuarios que confían en esta VPN para acceder a sus redes de forma segura.

Función vulnerable

La raíz de la vulnerabilidad se encuentra en la función ike2_ProcessPayload_CERT dentro del archivo ike2_payload_cert.c. Esta función es responsable de copiar la identificación del cliente en un búfer de 520 bytes ubicado en la pila, en conjunto con la validación del certificado SSL proporcionado. La falta de una verificación adecuada de la longitud del búfer provoca que un atacante pueda sobrescribir áreas de memoria adyacentes, ocasionando una escritura fuera de límites y posibilitando la ejecución remota del código en la fase de autenticación IKEv2. Aunque el servidor intenta llevar a cabo la validación del certificado, esta ocurre después de que se ha ejecutado el código vulnerable, permitiendo que el atacante acceda al sistema antes de que se produzca la autenticación.

Método de explotación

Una vez que la vulnerabilidad es explotada, se puede obtener un shell interactivo en Python a través de TCP utilizando la llamada al sistema mprotect(), lo que permite eludir mitigaciones como el bit NX (no-ejecutable). Posteriormente, el atacante puede elevar sus privilegios a un shell completo de Linux al ejecutar execve dentro de Python, descargar un binario de BusyBox y establecer un enlace simbólico a /bin/sh. Esta vulnerabilidad afecta tanto a la VPN destinada a usuarios móviles como a la VPN de oficina remota, facilitando la toma de control del registro del puntero de instrucción (RIP o contador de programa) y resultando en la posibilidad de generar un shell interactivo en Python a través de TCP, eludiendo eficazmente las medidas de seguridad implementadas en el sistema.

Recomendaciones de mitigación

Se aconseja a los administradores de sistemas que actualicen urgentemente sus dispositivos a las versiones corregidas para mitigar el riesgo de explotación de esta grave vulnerabilidad. Mantener los dispositivos actualizados es esencial para proteger la integridad de la red, evitando accesos no autorizados que podrían comprometer información sensible o interrumpir servicios críticos.

Referencias

• CISA – Vulnerabilidad Crítica en la VPN de WatchGuard
• Cybersecurity Journal – Análisis sobre CVE-2025-9242