Científicos de seguridad revelaron una vulnerabilidad crítica en el WatchGuard Fireware OS (el sistema operativo usado por sus dispositivos VPN), identificada como CVE-2025-9242, con una puntuación CVSS de 9.3 (Crítica). Esta falla permite que un atacante no autenticado ejecute código arbitrario en el dispositivo.
La Falla IKEv2: RCE Antes de la Autenticación
La vulnerabilidad reside en el módulo que procesa la fase de autenticación del protocolo IKEv2 (protocolos de establecimiento de túnel VPN), lo que la convierte en un vector de alto riesgo para cualquier dispositivo VPN expuesto.
Mecanismo del Desbordamiento
- Causa Raíz: El fallo es un desbordamiento fuera de límites (out-of-bounds write) que ocurre en la función ike2_ProcessPayload_CERT (archivo ike2_payload_cert.c).
- Explotación: La falla surge porque el software copia una identificación de cliente sin validar su longitud frente al buffer local de 520 bytes.
- Preautenticación Crítica: El chequeo del certificado del cliente (autenticación) ocurre después de que se ejecuta la parte vulnerable del código. Esto permite que la ruta de explotación sea accesible antes de que el atacante sea auténtico, lo que amplifica enormemente el riesgo.
Escalada a Control Total
Los investigadores demostraron que, explotando el desbordamiento, se puede obtener Ejecución Remota de Código (RCE) y escalar el acceso a un shell completo de Linux en el firewall:
- Evasión de Defensas: El atacante evade mitigaciones como el bit NX (no-execute) utilizando la función mprotect()para marcar la memoria como ejecutable.
- Carga útil adicional: El acceso inicial se convierte en un shell de Linux a través de la inyección de un intérprete de Python, que luego se utiliza para cargar herramientas como BusyBox.
- Control Total: Esto permite al atacante reparar el sistema de archivos en modo lectura/escritura, crear enlaces simbólicos y obtener acceso completo al sistema.
Productos afectados
La falla afecta al uso de VPN móvil con IKEv2 y al VPN para oficinas remotas con IKEv2 que usan la configuración de “dynamic gateway peer”. Las versiones vulnerables abarcan: Fireware OS 11.10.2 hasta 11.12.4_Update1, todos los 12.0 hasta 12.11.3 y la versión 2025.1 (antes de la actualización).
Recomendaciones
- Parcheo Inmediato
- Identificar y Actualizar: Identificar todos los dispositivos WatchGuard con Fireware OS en versiones vulnerables.
- Versiones Parcheadas: Actualizar a las versiones más recientes según corresponda: 2025.1.1, 12.11.4, 12.3.1_Update3, 12.5.13.
- Equipos EOL: Si algún dispositivo está en la versión 11.x, debe ser considerado EOL (End-of-Life) y debe ser migrado o reemplazado inmediatamente, ya que no recibirá soporte.
- Restricción de Acceso y Monitoreo
- Limitar IKEv2: Restringir el acceso a IKEv2 / servicios VPN únicamente a fuentes confiables (ej., listas blancas de IP, VPN previa o gateway *). No exponer el puerto VPN directamente a Internet si no es estrictamente necesario.
- Monitoreo de Handshake: Configure alertas para intentos de conexión IKEv2 desde ubicaciones inusuales y paquetes inesperadamente grandes o malformados durante la fase de handshake.
- Segmentación: Asegurar que los dispositivos VPN estén en una red segmentada para que, en caso de compromiso, no puedan moverse lateralmente hacia recursos internos sensibles.
- Principio de Mínimo Privilegio
- Auditoría de Procesos: Asegurar que el proceso ikedo el módulo de IKE tenga acceso limitado en el sistema operativo subyacente.
- Bloqueo de mprotect(): Evaluar si el sistema operativo subyacente puede limitar o bloquear usos demprotect() en contextos no autorizados para prevenir la evasión del NX bit.
