Investigadores de ciberseguridad han revelado una vulnerabilidad crítica en el sistema operativo Fireware de WatchGuard, que afecta a versiones comprendidas entre la 11.10.2 y la 2025.1.
El fallo, identificado como CVE-2025-9242 y con una puntuación CVSS de 9.3, permite a atacantes remotos ejecutar código arbitrario sin necesidad de autenticación previa, representando un serio riesgo para organizaciones y usuarios que utilizan las VPN de WatchGuard para el acceso seguro a redes corporativas.

El origen del problema se encuentra en la función ike2_ProcessPayload_CERT del archivo ike2_payload_cert.c, responsable de copiar la identificación del cliente en un búfer de 520 bytes en la pila antes de validar el certificado SSL. La ausencia de un control adecuado sobre el tamaño del búfer posibilita una escritura fuera de límites (buffer overflow), que un atacante podría aprovechar para ejecutar código malicioso durante la fase de autenticación IKEv2.
Aunque el sistema intenta validar el certificado recibido, esa comprobación ocurre después de que se ejecute la porción de código vulnerable, permitiendo el acceso al sistema antes de completar la autenticación.

Una vez explotada, la falla puede otorgar al atacante un shell interactivo en Python sobre TCP, mediante el uso de la llamada al sistema mprotect(), burlando mitigaciones como el bit NX (no ejecutable). Desde allí, el intruso puede escalar privilegios hasta obtener un shell completo de Linux, usando execve dentro de Python, descargando un binario de BusyBox y creando un enlace simbólico a /bin/sh.
El impacto se extiende tanto a las VPN móviles como a las VPN de oficina remota, permitiendo el control del registro del puntero de instrucción (RIP) y la ejecución arbitraria de comandos.

https://unaaldia.hispasec[.]com