Cybersecurity-onderzoekers hebben details onthuld van een onlangs gepatcht kritiek beveiligingslek in WatchGuard Fireware waardoor niet-geverifieerde aanvallers willekeurige code kunnen uitvoeren.
De kwetsbaarheid, bijgehouden als CVE-2025-9242 (CVSS-score: 9,3), wordt beschreven als een schrijfkwetsbaarheid buiten het bereik die Fireware OS 11.10.2 tot en met 11.12.4_Update1, 12.0 tot en met 12.11.3 en 2025.1 treft.
“Een out-of-bounds schrijfkwetsbaarheid in het WatchGuard Fireware OS iked-proces kan een niet-geauthenticeerde aanvaller op afstand in staat stellen willekeurige code uit te voeren”, zei WatchGuard in een advies dat vorige maand werd uitgebracht. “Dit beveiligingslek treft zowel de mobiele gebruikers-VPN met IKEv2 als de VPN van het filiaal die IKEv2 gebruikt wanneer deze is geconfigureerd met een dynamische gateway-peer.”
Het is aangepakt in de volgende versies –
- 2025.1 – Vastgesteld in 2025.1.1
- 12.x – Opgelost in 12.11.4
- 12.3.1 (FIPS-gecertificeerde release) – Opgelost in 12.3.1_Update3 (B722811)
- 12.5.x (T15- en T35-modellen) – opgelost in 12.5.13)
- 11.x – Einde levensduur bereikt
Een nieuwe analyse van watchTowr Labs heeft CVE-2025-9242 beschreven als “alle kenmerken die ransomwarebendes uit de buurt graag zien”, inclusief het feit dat het een aan het internet blootgestelde dienst beïnvloedt, zonder authenticatie kan worden uitgebuit en willekeurige code kan uitvoeren op een perimeterapparaat.
Volgens beveiligingsonderzoeker McCaulay Hudson is de kwetsbaarheid geworteld in de functie “ike2_ProcessPayload_CERT” die aanwezig is in het bestand “src/ike/iked/v2/ike2_payload_cert.c” en die is ontworpen om de “identificatie” van een client te kopiëren naar een lokale stapelbuffer van 520 bytes, en vervolgens het meegeleverde SSL-certificaat van de client te valideren.
Het probleem ontstaat als gevolg van een controle op de ontbrekende lengte van de identificatiebuffer, waardoor een aanvaller een overflow kan activeren en code op afstand kan uitvoeren tijdens de IKE_SA_AUTH-fase van het handshake-proces dat wordt gebruikt om een VPN-tunnel (Virtual Private Network) tot stand te brengen tussen een client en de VPN-service van WatchGuard via het IKE-sleutelbeheerprotocol.
“De server probeert wel een certificaatvalidatie, maar die validatie gebeurt nadat de kwetsbare code is uitgevoerd, waardoor ons kwetsbare codepad vóór authenticatie bereikbaar is”, aldus Hudson.
WatchTowr merkte op dat hoewel WatchGuard Fireware OS een interactieve shell zoals “/bin/bash” mist, het voor een aanvaller mogelijk is om de fout te bewapenen en controle te krijgen over het instructieaanwijzerregister (ook bekend als RIP of programmateller) om uiteindelijk een interactieve Python-shell over TCP te spawnen door gebruik te maken van een mprotect()-systeemaanroep, waardoor effectief de NX-bit (ook wel no-execute genoemd) wordt omzeild. beetje) verzachtingen.
Zodra de externe Python-shell is bereikt, kan de voet aan de grond verder worden geëscaleerd via een proces van meerdere stappen om een volledige Linux-shell te verkrijgen –
- Direct uitvoeren van execve binnen Python om het bestandssysteem opnieuw te koppelen als lezen/schrijven
- Een BusyBox busybox binair bestand downloaden naar het doel
- Symlinking van /bin/sh naar het BusyBox-binaire bestand
De ontwikkeling komt op het moment dat watchTowr heeft aangetoond dat een inmiddels opgeloste Denial-of-Service (DoS)-kwetsbaarheid die invloed heeft op de Progress Telerik UI voor AJAX (CVE-2025-3600, CVSS-score: 7,5) ook uitvoering van externe code mogelijk kan maken, afhankelijk van de beoogde omgeving. De kwetsbaarheid werd op 30 april 2025 door Progress Software verholpen.
“Afhankelijk van de doelcodebasis – bijvoorbeeld de aanwezigheid van bepaalde constructors zonder argumenten, finalizers of onveilige assemblage-resolvers – kan de impact escaleren tot uitvoering van code op afstand”, aldus beveiligingsonderzoeker Piotr Bazydlo.
Eerder deze maand wierp Sina Kheirkhah van het Wachttorengenootschap ook licht op een kritieke, vooraf geverifieerde fout in de opdrachtinjectie in Dell UnityVSA (CVE-2025-36604, CVSS-score: 9,8/7,3) die zou kunnen resulteren in de uitvoering van opdrachten op afstand. Dell heeft de kwetsbaarheid in juli 2025 verholpen na een verantwoorde openbaarmaking op 28 maart.
