WatchGuard ha publicado correcciones para abordar una falla de seguridad crítica en el sistema operativo Fireware que, según dijo, ha sido explotada en ataques del mundo real.
Seguimiento como CVE-2025-14733 (Puntuación CVSS: 9,3), la vulnerabilidad se ha descrito como un caso de escritura fuera de límites que afecta al proceso iked y que podría permitir que un atacante remoto no autenticado ejecute código arbitrario.
«Esta vulnerabilidad afecta tanto a la VPN del usuario móvil con IKEv2 como a la VPN de la sucursal que usa IKEv2 cuando se configura con un par de puerta de enlace dinámica», dijo la compañía. dicho en un aviso del jueves.
«Si el Firebox se configuró previamente con la VPN del usuario móvil con IKEv2 o una VPN de sucursal usando IKEv2 para un par de puerta de enlace dinámica, y ambas configuraciones se han eliminado desde entonces, ese Firebox aún puede ser vulnerable si una VPN de sucursal para un par de puerta de enlace estática todavía está configurada».
La vulnerabilidad afecta a las siguientes versiones del sistema operativo Fireware:
- 2025.1 – Corregido en 2025.1.4
- 12.x – Corregido en 12.11.6
- 12.5.x (modelos T15 y T35): corregido en 12.5.15
- 12.3.1 (versión con certificación FIPS): corregido en 12.3.1_Update4 (B728352)
- 11.x (11.10.2 hasta 11.12.4_Update1 inclusive) – Fin de vida útil
WatchGuard reconoció que ha observado actores de amenazas que intentan activamente explotar esta vulnerabilidad en la naturaleza, y los ataques se originan desde las siguientes direcciones IP:
Curiosamente, la dirección IP «199.247.7[.]82» también era marcado por Arctic Wolf a principios de esta semana relacionado con la explotación de dos vulnerabilidades de seguridad recientemente reveladas en Fortinet FortiOS, FortiWeb, FortiProxy y FortiSwitchManager (CVE-2025-59718 y CVE-2025-59719, puntuaciones CVSS: 9,8).
La compañía con sede en Seattle también ha compartido múltiples indicadores de compromiso (IoC) que los propietarios de dispositivos pueden usar para determinar si sus propias instancias han sido infectadas.
- Un mensaje de registro que indica «La cadena de certificados de pares recibida tiene más de 8. Rechace esta cadena de certificados» cuando el Firebox recibe una carga útil de autenticación IKE2 con más de 8 certificados
- Un mensaje de registro de solicitud IKE_AUTH con un tamaño de carga CERT anormalmente grande (más de 2000 bytes)
- Durante un exploit exitoso, el proceso iked se bloqueará, interrumpiendo las conexiones VPN
- Después de un exploit fallido o exitoso, el proceso IKED fallará y generará un informe de falla en el Firebox
La divulgación se produce poco más de un mes después de que la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) agregado otra falla crítica del sistema operativo WatchGuard Fireware (CVE-2025-9242, puntuación CVSS: 9.3) en su catálogo de vulnerabilidades explotadas conocidas (KEV) después de informes de explotación activa.
Actualmente no se sabe si estos dos conjuntos de ataques están relacionados. Se recomienda a los usuarios que apliquen las actualizaciones lo antes posible para protegerse contra la amenaza.
Como mitigación temporal para dispositivos con configuraciones vulnerables de VPN para sucursales (BOVPN), la empresa ha instado Los administradores pueden deshabilitar BOVPN de pares dinámicos, crear un alias que incluya las direcciones IP estáticas de pares BOVPN remotos, agregar nuevas políticas de firewall que permitan el acceso desde el alias y deshabilitar las políticas integradas predeterminadas que manejan el tráfico VPN.
Fuente