martes, 23 de diciembre de 2025

125.000 firewalls WatchGuard expuestos a ataques

La Fundación Shadowserver identificó aproximadamente 125.000 dispositivos firewall WatchGuard Firebox en todo el mundo en riesgo debido a una vulnerabilidad crítica que está siendo explotada activamente. El fallo, rastreado como CVE-2025-14733, permite a atacantes remotos no autenticados ejecutar código arbitrario en dispositivos no parcheados con un mínimo esfuerzo. 





125.000 direcciones IP de dispositivos WatchGuard Firebox expuestas en Internet, vulnerables a ataques RCE de día cero 

La Fundación Shadowserver ha identificado aproximadamente 125.000 dispositivos firewall WatchGuard Firebox en todo el mundo en riesgo debido a una vulnerabilidad crítica que está siendo explotada activamente. La falla, rastreada como CVE-2025-14733, permite a atacantes remotos no autenticados ejecutar código arbitrario en dispositivos no parcheados con un mínimo esfuerzo. La vulnerabilidad proviene de una falla de escritura fuera de límites en el proceso de intercambio de claves IKEv2 del sistema operativo Firmware de WatchGuard. Con una puntuación CVSS de 9.8, esta falla crítica no requiere interacción del usuario. Puede ser explotada a través de la red sin autenticación.
CVE IDTipo de VulnerabilidadPuntuación CVSSComponente AfectadoVector de Ataque
CVE-2025-14733Escritura Fuera de Límites9.8Proceso iked de WatchGuard Fireware OSRed (No Autenticado)

Exposición Masiva Descubierta

WatchGuard ha confirmado que los actores de amenazas están intentando activamente la explotación en el mundo real, lo que convierte esto en una amenaza de día cero genuina para las organizaciones que aún no han aplicado el parche.
The Shadowserver Foundation reported this in a post on X
La Fundación Shadowserver informó esto en una publicación en X.
La vulnerabilidad afecta explícitamente a las configuraciones VPN de usuarios móviles con IKEv2 y a las configuraciones VPN de sucursales que utilizan IKEv2 con pares de puerta de enlace dinámicos. Peligroso es un escenario de configuración "zombie": incluso si los administradores eliminan la configuración VPN vulnerable, los firewalls pueden permanecer comprometidos si permanecen en su lugar los túneles VPN de sucursales a pares de puerta de enlace estáticos. La vulnerabilidad afecta a múltiples versiones de Fireware OS.
Versión de FirewareEstadoAcción Requerida
2025.1 (≤ 2025.1.3)VulnerableActualizar a 2025.1.4
12.x (≤ 12.11.5)VulnerableActualizar a 12.11.6
12.5.xVulnerableActualizar a 12.5.15
12.3.1 (FIPS)VulnerableActualizar a 12.3.1 Update 4
11.xFin de VidaSe requiere una actualización completa
La escala de la exposición es alarmante. El escaneo de Shadowserver identificó dispositivos vulnerables en todo el mundo, con concentraciones en América del Norte y Europa. Esto refleja un incidente anterior en el que Shadowserver identificó más de 75.000 dispositivos Firebox sin parche vulnerables a CVE-2025-9242. WatchGuard proporcionó indicadores específicos de compromiso, incluidas cuatro direcciones IP vinculadas directamente a intentos de explotación activos. Las organizaciones deben revisar los registros de firewall para detectar anomalías en la cadena de certificados y cargas útiles IKE_AUTH anormalmente grandes que excedan los 2.000 bytes. Debes priorizar la actualización de todos los dispositivos Firebox inmediatamente. Los equipos de seguridad deben supervisar la actividad VPN sospechosa y revisar los registros de auditoría para detectar indicadores de ataque. Rota todas las credenciales almacenadas localmente en los dispositivos potencialmente comprometidos. Dada la explotación activa, los retrasos aumentan sustancialmente el riesgo de violación.


Fuentes:
https://cybersecuritynews.com/125000-ips-watchguard-firebox-devices/

No hay comentarios:

Publicar un comentario