Falha crítica em VPN da WatchGuard permite ataque RCE sem necessidade de autenticação

Pesquisadores divulgaram detalhes de uma falha de segurança crítica, recentemente corrigida, no WatchGuard Fireware que poderia permitir que um invasor não autenticado executasse código arbitrário e, potencialmente, assumisse o controle total do dispositivo. A vulnerabilidade, rastreada como CVE-2025-9242 (com uma pontuação CVSS de 9,3, indicando alta gravidade), está classificada como uma falha de gravação fora dos limites.

Em um comunicado emitido no mês passado, a WatchGuard confirmou o problema: "Uma vulnerabilidade de gravação fora dos limites no processo iked do WatchGuard Fireware OS pode permitir que um invasor remoto não autenticado execute código arbitrário," detalhou a empresa. A falha afeta as configurações de VPN de usuário móvel com IKEv2 e VPN de filial que utilizam IKEv2, especificamente quando configuradas com um gateway dinâmico. As versões afetadas do Fireware OS incluem 11.10.2 até 11.12.4_Update1, 12.0 até 12.11.3 e 2025.1.

Uma nova análise da watchTowr Labs destacou a seriedade do CVE-2025-9242, classificando-o como possuindo "todas as características que os grupos hackers de ransomware da sua vizinhança adoram ver". Os fatores críticos que elevam o risco incluem o fato de a falha afetar um serviço exposto diretamente à internet, ser explorável sem qualquer forma de autenticação prévia e permitir a execução de código arbitrário em um dispositivo de perímetro vital para a segurança da rede.

O Pesquisador de segurança McCaulay Hudson, da watchTowr, detalhou que a vulnerabilidade reside na função ike2_ProcessPayload_CERT, encontrada no arquivo src/ike/iked/v2/ike2_payload_cert.c. Esta função é projetada para copiar uma "identificação" do cliente para um buffer de pilha local de 520 bytes e, subsequentemente, validar o certificado SSL do cliente fornecido.

O ponto de falha é a ausência de uma verificação de comprimento no buffer de identificação. Isso permite que um invasor acione um overflow (estouro de buffer) e alcance a execução remota de código durante a fase IKE_SA_AUTH do processo de handshake (aperto de mão) utilizado para estabelecer um túnel de rede privada virtual (VPN) entre um cliente e o serviço VPN da WatchGuard, utilizando o protocolo de gerenciamento de chaves IKE.

"O servidor tenta validar o certificado, mas essa validação ocorre depois que o código vulnerável é executado, permitindo que nosso caminho de código vulnerável seja acessível antes da autenticação", explicou Hudson.

Os Pesquisadores da watchTowr observaram que, apesar do WatchGuard Fireware OS não possuir um shell interativo convencional como /bin/bash, a falha pode ser explorada para ganhar controle. Um invasor pode aproveitar a vulnerabilidade para obter o controle do registro do ponteiro de instrução (Instruction Pointer Register - RIP) e, em última análise, gerar um shell interativo Python sobre TCP. Isso é feito por meio de uma chamada de sistema mprotect(), contornando efetivamente as mitigações de segurança como o bit NX (Non-Execute bit).

Com o shell Python remoto estabelecido, este ponto de apoio pode ser escalado em um processo de várias etapas para obter um shell Linux completo: (1) Execução direta de execve no Python para remontar o sistema de arquivos como leitura/gravação; (2) Download de um binário do BusyBox no dispositivo alvo; e (3) Criação de uma ligação simbólica de /bin/sh para o binário BusyBox.

A WatchGuard já lançou correções para a falha nas seguintes versões: 2025.1 (corrigida em 2025.1.1); 12.x (corrigida em 12.11.4); 12.3.1 (versão certificada pelo FIPS, corrigida em 12.3.1_Update3); e 12.5.x (modelos T15 e T35, corrigida em 12.5.13). As versões 11.x já atingiram o fim da vida útil e não receberão correção.

Este desenvolvimento segue outras descobertas recentes, como a demonstração de que uma falha de negação de serviço (DoS) corrigida na interface de usuário Progress Telerik para AJAX (CVE-2025-3600) também poderia levar à execução remota de código, dependendo do ambiente. Além disso, no início do mês, Sina Kheirkhah, também da Watchtower, revelou uma falha crítica de injeção de comando pré-autenticado no Dell UnityVSA (CVE-2025-36604) com pontuação CVSS de 9,8, que permitia a execução remota de comandos, e foi corrigida pela Dell em julho de 2025.

Via - THN