Los investigadores de ciberseguridad han revelado los detalles de una falla de seguridad crítica recientemente parcheada en WatchGuard Fireware OS, el sistema operativo que impulsa los firewalls y dispositivos de seguridad de red de la compañía.
La vulnerabilidad, rastrea como CVE-2025-9242 y con una puntuación CVSS de 9.3, permite a atacantes remotos no autenticados ejecutar código arbitrario en sistemas vulnerables. Esto representa una amenaza significativa, ya que afecta a servicios VPN expuestos a Internet, que suelen proteger entornos corporativos y redes perimetrales.
Un fallo grave en Fireware OS que expone la red empresarial
Según el aviso de seguridad publicado por WatchGuard, la falla afecta a múltiples versiones de Fireware OS, incluidas:
-
11.10.2 hasta 11.12.4_Update1 (inclusive)
-
12.0 hasta 12.11.3
-
Versión 2025.1
La compañía confirmó que el problema reside en una vulnerabilidad de escritura fuera de los límites (out-of-bounds write) dentro del proceso del sistema operativo, lo que permite a los atacantes remotos ejecutar código arbitrario antes de que ocurra la autenticación del cliente VPN.
Esta vulnerabilidad impacta específicamente a la VPN de usuario móvil con IKEv2 y a la VPN de sucursal que utiliza IKEv2 cuando se configura con un par de puerta de enlace dinámica, un componente clave en entornos distribuidos.
Versiones corregidas por WatchGuard
El fabricante lanzó rápidamente actualizaciones de seguridad para mitigar el problema en las siguientes versiones:
-
2025.1 → corregido en 2025.1.1
-
12.x → corregido en 12.11.4
-
12.3.1 (versión certificada FIPS) → corregido en 12.3.1_Update3 (B722811)
-
12.5.x (modelos T15 y T35) → corregido en 12.5.13
-
Las versiones 11.x ya no reciben soporte por haber llegado al fin de su vida útil (EoL).
WatchGuard instó a todos los administradores a actualizar inmediatamente sus dispositivos Fireware OS, especialmente aquellos que operan servicios VPN expuestos públicamente.
Una vulnerabilidad con potencial de explotación masiva
El equipo de watchTowr Labs, especializado en investigación de vulnerabilidades, describió la CVE-2025-9242 como un fallo con “todas las características que los grupos de ransomware adoran”.
Según el investigador McCaulay Hudson, la falla reside en la función “ike2_ProcessPayload_CERT”, ubicada en el archivo fuente
1 | ike2_payload_cert.c |
. Esta función copia una “identificación” del cliente en un búfer de pila local de 520 bytes, pero omite verificar la longitud del contenido entrante.
Esa omisión abre la puerta a un desbordamiento de búfer durante la fase IKE_SA_AUTH del protocolo IKEv2, utilizado para establecer túneles VPN entre un cliente y el servidor de WatchGuard. Como la validación del certificado se produce después del código vulnerable, el atacante puede explotar el fallo sin autenticación previa.
Hudson destacó que esta vulnerabilidad se encuentra en una fase del protocolo ejecutada antes del intercambio de claves, lo que permite un ataque remoto directo sobre el servicio VPN expuesto.
Cómo los atacantes pueden aprovechar la CVE-2025-9242
Aunque WatchGuard Fireware OS no posee un shell interactivo tradicional (como
1 | /bin/bash |
), los investigadores demostraron que un atacante podría manipular el registro del puntero de instrucción (RIP) para tomar control del flujo de ejecución.
Mediante el uso de la llamada al sistema mprotect(), los atacantes pueden evadir la protección NX bit (no-execute) y generar un shell remoto de Python sobre TCP, obteniendo control sobre el dispositivo comprometido.
A partir de ese punto, los ciberdelincuentes podrían:
-
Ejecutar
1execveen Python para volver a montar el sistema de archivos como lectura/escritura.
-
Descargar un binario BusyBox en el dispositivo.
-
Crear un enlace simbólico
1/bin/shal binario de BusyBox, obteniendo un shell completo de Linux con privilegios elevados.
Con este nivel de acceso, los atacantes podrían instalar puertas traseras persistentes, extraer credenciales VPN, o lanzar ataques laterales contra la red corporativa interna.

Un patrón creciente de fallas críticas en software de seguridad
El hallazgo de CVE-2025-9242 coincide con una serie de vulnerabilidades críticas identificadas recientemente por watchTowr Labs en otros productos empresariales.
Entre ellas, destaca una falla de denegación de servicio (DoS) en la interfaz de usuario de Progress Telerik para AJAX (CVE-2025-3600, CVSS 7.5), que podría escalar a ejecución remota de código (RCE) dependiendo del entorno.
Según el investigador Piotr Bazydlo, “dependiendo del código base del objetivo —por ejemplo, constructores sin argumentos o resolutores inseguros—, el impacto puede escalar fácilmente hasta la ejecución remota de código”.
Asimismo, Sina Kheirkhah, también de watchTowr, documentó una falla de inyección de comandos preautenticada en Dell UnityVSA (CVE-2025-36604, CVSS 9.8), corregida en julio de 2025 tras su divulgación responsable. Esta vulnerabilidad permitía ejecutar comandos arbitrarios en sistemas de almacenamiento virtualizados.
Impacto y recomendaciones para empresas
Las vulnerabilidades como CVE-2025-9242 son especialmente peligrosas porque afectan a dispositivos de seguridad perimetral, que suelen estar directamente conectados a Internet y manejan tráfico VPN corporativo.
Un ataque exitoso podría permitir a los ciberdelincuentes penetrar en redes internas, robar información confidencial, o incluso interrumpir operaciones críticas.
Para mitigar el riesgo, los expertos recomiendan:
-
Actualizar inmediatamente Fireware OS a las versiones corregidas.
-
Deshabilitar temporalmente la VPN IKEv2 en configuraciones con puertas de enlace dinámicas.
-
Monitorizar el tráfico VPN en busca de anomalías o intentos de conexión no autorizados.
-
Implementar firewalls de aplicación y detección de intrusos (IDS/IPS).
-
Realizar auditorías de seguridad periódicas en dispositivos expuestos a Internet.
Una alerta crítica para la seguridad perimetral
El descubrimiento de CVE-2025-9242 en WatchGuard Fireware OS demuestra una vez más que incluso los dispositivos diseñados para proteger las redes corporativas pueden convertirse en vectores de ataque si no se actualizan a tiempo.
Con una puntuación CVSS de 9.3, una exposición directa a Internet y un vector de ataque sin necesidad de autenticación, esta vulnerabilidad tiene un alto potencial para ser explotada por grupos de ransomware y actores estatales.
La única defensa eficaz ante este tipo de amenazas es la actualización inmediata del firmware, el fortalecimiento de la supervisión de red y la adopción de una cultura proactiva de ciberseguridad dentro de las organizaciones.
Fuente: The Hacker News
