Pesquisadores em cibersegurança divulgaram detalhes sobre uma vulnerabilidade crítica recentemente corrigida no WatchGuard Fireware, que poderia permitir a execução remota de código arbitrário por atacantes não autenticados.
Identificada como
CVE-2025-9242
, com pontuação CVSS 9,3, a falha consiste em um out-of-bounds write que afeta versões do Fireware OS desde a 11.10.2 até a 11.12.4_Update1, da 12.0 até a 12.11.3 e a 2025.1.
Segundo a WatchGuard, em comunicado divulgado no mês passado, “uma vulnerabilidade de out-of-bounds write no processo iked do WatchGuard Fireware OS pode permitir que um atacante remoto, sem autenticação, execute código arbitrário”.
O problema impacta tanto o VPN móvel com IKEv2 quanto o VPN de escritório remoto configurado com gateway dinâmico usando IKEv2.
A correção foi aplicada nas seguintes versões:
- 2025.1 corrigida na 2025.1.1;
- 12.x corrigida na 12.11.4;
- 12.3.1 (versão certificada FIPS) corrigida na 12.3.1_Update3 (B722811);
- 12.5.x (modelos T15 e T35) corrigida na 12.5.13;
- as versões 11.x alcançaram o end-of-life.
Uma análise recente do watchTowr Labs destaca que essa vulnerabilidade possui “todas as características que grupos de ransomware adoram”, principalmente por afetar um serviço exposto à internet, ser explorável sem autenticação e permitir execução remota de código em um appliance de perímetro.
De acordo com o pesquisador McCaulay Hudson, a falha está na função ike2_ProcessPayload_CERT, do arquivo src/ike/iked/v2/ike2_payload_cert.c, responsável por copiar a “identificação” do cliente para um buffer local de 520 bytes e validar o certificado SSL do cliente.
O problema decorre da ausência de verificação do tamanho do buffer de identificação, o que possibilita overflow e execução remota de código durante a fase IKE_SA_AUTH do handshake usado para estabelecer o túnel VPN entre cliente e serviço da WatchGuard via protocolo de gerenciamento de chaves IKE.
“O servidor tenta validar o certificado, mas essa validação ocorre após a execução do código vulnerável, permitindo a exploração antes da autenticação”, explica Hudson.
Embora o Fireware OS não disponha de shell interativo como o /bin/bash, o watchTowr demonstrou que o atacante pode explorar a vulnerabilidade para controlar o registrador de ponteiro de instrução (RIP) e, por meio da chamada de sistema mprotect(), contornar mitigações como o NX bit (no-execute bit) e abrir um shell Python interativo via TCP.
A partir desse shell remoto em Python, o invasor pode escalar privilégios seguindo etapas como:
- executar diretamente execve para remontar o sistema de arquivos em modo leitura/gravação;
- baixar o binário BusyBox para o alvo;
- criar um link simbólico de /bin/sh apontando para o BusyBox.
Essa descoberta reforça um cenário já conhecido, pois o watchTowr também demonstrou que uma vulnerabilidade de DoS (
CVE-2025-3600
, CVSS 7,5), agora corrigida, no Progress Telerik UI para AJAX pode ser explorada para execução remota de código, dependendo do ambiente.
A correção foi liberada pela Progress Software em 30 de abril de 2025.
“Dependendo do código alvo — por exemplo, pela existência de construtores sem argumentos, finalizadores ou assembly resolvers inseguros — o impacto pode escalar para execução remota de código”, alerta o pesquisador Piotr Bazydlo.
Além disso, no início deste mês, Sina Kheirkhah, do watchTowr, revelou uma falha crítica de command injection pré-autenticada no Dell UnityVSA (
CVE-2025-36604
, pontuação CVSS 9,8/7,3), que também permitia execução remota de comandos.
A Dell lançou a correção em julho de 2025, após divulgação responsável em 28 de março.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...