La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) el miércoles agregado una falla de seguridad crítica que afecta Fireware WatchGuard a sus vulnerabilidades explotadas conocidas (KEV) catálogo, basado en evidencia de explotación activa.
La vulnerabilidad en cuestión es CVE-2025-9242 (puntaje CVSS: 9.3), una vulnerabilidad de escritura fuera de límites que afecta a Fireware OS 11.10.2 hasta 11.12.4_Update1 inclusive, 12.0 hasta 12.11.3 inclusive y 2025.1.
«WatchGuard Firebox contiene una vulnerabilidad de escritura fuera de límites en el proceso del sistema operativo que puede permitir que un atacante remoto no autenticado ejecute código arbitrario», dijo CISA en un aviso.
Los detalles de la vulnerabilidad fueron compartido por watchTowr Labs el mes pasado, y la compañía de ciberseguridad afirmó que el problema se debe a una verificación de longitud faltante en un búfer de identificación utilizado durante el proceso de protocolo de enlace de IKE.
«El servidor intenta la validación del certificado, pero esa validación ocurre después de que se ejecuta el código vulnerable, lo que permite que nuestra ruta de código vulnerable sea accesible antes de la autenticación», señaló el investigador de seguridad McCaulay Hudson.
Actualmente no hay detalles sobre cómo se está explotando el defecto de seguridad y cuál es la escala de dichos esfuerzos. De acuerdo a datos Según la Fundación Shadowserver, más de 54,300 instancias de Firebox siguen siendo vulnerables al error crítico al 12 de noviembre de 2025, frente a un máximo de 75,955 el 19 de octubre.
Aproximadamente 18.500 de estos dispositivos se encuentran en los EE. UU., revelan los escaneos. Italia (5.400), el Reino Unido (4.000), Alemania (3.600) y Canadá (3.000) completan los cinco primeros. Se recomienda a las agencias del Poder Ejecutivo Civil Federal (FCEB) que apliquen los parches de WatchGuard antes del 3 de diciembre de 2025.
El desarrollo se produce cuando CISA también agregó CVE-2025-62215 (Puntuación CVSS: 7.0), una falla recientemente revelada en el kernel de Windows, y CVE-2025-12480 (Puntuación CVSS: 9.1), una vulnerabilidad de control de acceso inadecuado en Gladinet Triofox, al catálogo KEV. El equipo Mandiant Threat Defense de Google ha atribuido la explotación de CVE-2025-12480 a un actor de amenazas al que rastrea como UNC6485.
Fuente