WatchGuard advierte que una vulnerabilidad crítica en sus dispositivos Firebox está siendo explotada como parte de una campaña dirigida a dispositivos periféricos. según un aviso de la empresa.
El defecto, rastreado como CVE-2025-14733implica una vulnerabilidad de escritura fuera de límites en el proceso del demonio de intercambio de claves de Internet del sistema operativo Fireware. Un atacante no autenticado puede lograr la ejecución remota de código.
WatchGuard dijo que descubrió la falla a través de un proceso interno y emitió un parche el jueves.
«Desde que la solución estuvo disponible, nuestros socios y usuarios finales han estado parcheando activamente los dispositivos Firebox afectados», dijo un portavoz de WatchGuard a Cybersecurity Dive. «Seguimos recomendando encarecidamente la aplicación oportuna de parches como una de las mejores prácticas fundamentales en materia de seguridad».
WatchGuard dijo que la actividad de amenaza es parte de una campaña más amplia dirigida a dispositivos periféricos e infraestructura expuesta a Internet en una amplia cantidad de proveedores. La compañía no especificó los otros proveedores a los que apuntaba ni hizo referencia específica a los grupos de amenazas que pueden estar vinculados a la explotación.
Investigadores en Shadowserver el sábado informó hasta 125.000 IP fueron considerados vulnerables.
La Agencia de Seguridad de Infraestructura y Ciberseguridad agregó la falla el viernes a sus vulnerabilidades explotadas conocidas catalogar.
La falla de WatchGuard se debe a un problema de corrupción de memoria, que es similar a otra vulnerabilidad revelada en septiembre en WatchGuard Fireware OS, listada como CVE-2025-9242según VulnCheck. Esa vulnerabilidad también fue objeto de explotación.
«Las fallas de corrupción de memoria como estas son valiosas para los adversarios porque la explotación exitosa generalmente permite la ejecución remota de código con altos privilegios», dijo Caitlin Condon, vicepresidenta de investigación de seguridad de VulnCheck a Cybersecurity Dive por correo electrónico. «Sin embargo, cabe destacar que este tipo de vulnerabilidades también pueden ser difíciles de explotar y, a veces, requieren conocimiento por objetivo (por ejemplo, direcciones de memoria codificadas) para desarrollar un exploit funcional».
WatchGuard advirtió que la vulnerabilidad afecta a la VPN del usuario móvil con IKEv2 o a una VPN de sucursal con IKEv2 cuando está configurada como un par de puerta de enlace dinámica, según el aviso.
La compañía dijo que el proceso IKED se bloqueará durante una explotación exitosa. Esto interrumpirá las negociaciones del túnel VPN y la renovación de claves, según WatchGuard.
Si los usuarios no pueden actualizar inmediatamente y el Firebox solo está configurado usando túneles VPN de sucursal para pares de puerta de enlace estática, Entonces los usuarios pueden seguir las instrucciones de la empresa. para una solución temporal.
Nota del editor: agrega comentario de Vulncheck.
Fuente