Критическая уязвимость, получившая идентификатор CVE-2025-9242, была обнаружена в операционной системе WatchGuard Fireware. С оценкой 9.3 по шкале CVSS, эта ошибка позволяет удаленному злоумышленнику без аутентификации выполнить произвольный код и получить полный контроль над затронутыми устройствами. Анализ и демонстрация эксплуатации были предоставлены исследователями из компании watchTowr Labs.
Уязвимости подвержены несколько версий операционной системы. В их число входят Fireware OS с версии 11.10.2 до 11.12.4_Update1 включительно, все версии с 12.0 до 12.11.3, а также версия 2025.1. Компания WatchGuard подчеркнула, что линейка версий 11.x достигла конца жизненного цикла, и исправления для нее выпускаться не будут, оставляя пользователей этих систем без защиты.
Проблема затрагивает устройства, на которых настроены специфические службы VPN. Ошибка находится в процессе
Для устранения уязвимости компания WatchGuard выпустила обновления. Пользователям версии 2025.1 необходимо обновиться до 2025.1.1. Для 12-й линейки выпущена версия 12.11.4. Владельцам моделей T15 и T35, работающих на ветке 12.5.x, следует установить обновление 12.5.13. Для FIPS-сертифицированной версии 12.3.1 выпущено исправление 12.3.1_Update3 (сборка B722811).
Ведущий исследователь watchTowr Labs Макколи Хадсон (McCaulay Hudson) отметил, что уязвимость «обладает всеми характеристиками, которые так любят видеть дружелюбные соседские банды вымогателей». Она затрагивает сервис, доступный из интернета, не требует аутентификации для эксплуатации и ведет к выполнению кода на периметральном устройстве, что является идеальным сценарием для проникновения в корпоративную сеть.
Технический корень проблемы лежит в функции
Процесс эксплуатации уязвимости многоступенчат. Сначала злоумышленник, используя переполнение буфера, получает контроль над регистром указателя инструкций (RIP). Затем, для обхода защитного механизма NX (запрет выполнения кода в областях данных), используется системный вызов
Далее следует этап повышения привилегий для получения полноценной командной строки. С помощью системного вызова
Исследователи watchTowr Labs также сообщили о других недавно обнаруженных уязвимостях. Петр Базыдло (Piotr Bazydlo) выявил ошибку в Progress Telerik UI for AJAX (CVE-2025-3600) с оценкой 7.5 (High). Эта уязвимость типа «отказ в обслуживании» (DoS) может быть повышена до удаленного выполнения кода (RCE) в зависимости от окружения цели. Компания Progress Software устранила ее 30 апреля 2025 года.
Другой исследователь, Сина Хейрха (Sina Kheirkhah), обнаружил критическую уязвимость в Dell UnityVSA (CVE-2025-36604). Она получила оценку 9.8 / 7.3 (Critical / High) и представляет собой доаутентификационную инъекцию команд, позволяющую удаленно выполнять команды на уязвимой системе.
Уязвимости подвержены несколько версий операционной системы. В их число входят Fireware OS с версии 11.10.2 до 11.12.4_Update1 включительно, все версии с 12.0 до 12.11.3, а также версия 2025.1. Компания WatchGuard подчеркнула, что линейка версий 11.x достигла конца жизненного цикла, и исправления для нее выпускаться не будут, оставляя пользователей этих систем без защиты.
Проблема затрагивает устройства, на которых настроены специфические службы VPN. Ошибка находится в процессе
iked и проявляется при использовании мобильного VPN для пользователей с протоколом IKEv2, а также в конфигурациях VPN для филиалов (Branch office VPN), использующих IKEv2 с динамическим одноранговым шлюзом. Другие конфигурации не подвержены данной угрозе. Для устранения уязвимости компания WatchGuard выпустила обновления. Пользователям версии 2025.1 необходимо обновиться до 2025.1.1. Для 12-й линейки выпущена версия 12.11.4. Владельцам моделей T15 и T35, работающих на ветке 12.5.x, следует установить обновление 12.5.13. Для FIPS-сертифицированной версии 12.3.1 выпущено исправление 12.3.1_Update3 (сборка B722811).
Ведущий исследователь watchTowr Labs Макколи Хадсон (McCaulay Hudson) отметил, что уязвимость «обладает всеми характеристиками, которые так любят видеть дружелюбные соседские банды вымогателей». Она затрагивает сервис, доступный из интернета, не требует аутентификации для эксплуатации и ведет к выполнению кода на периметральном устройстве, что является идеальным сценарием для проникновения в корпоративную сеть.
Технический корень проблемы лежит в функции
ike2_ProcessPayload_CERT, расположенной в файле src/ike/iked/v2/ike2_payload_cert.c. Функция копирует идентификационные данные клиента в локальный буфер на стеке размером 520 байт, однако не выполняет проверку длины входящих данных. Отправив идентификатор большего размера, злоумышленник вызывает классическое переполнение буфера на стеке. Это происходит на этапе IKE_SA_AUTH при установлении VPN-соединения, еще до проверки SSL-сертификата, что делает атаку доаутентификационной. Процесс эксплуатации уязвимости многоступенчат. Сначала злоумышленник, используя переполнение буфера, получает контроль над регистром указателя инструкций (RIP). Затем, для обхода защитного механизма NX (запрет выполнения кода в областях данных), используется системный вызов
mprotect(). Это позволяет исполнить вредоносный код, который на первом этапе запускает интерактивную оболочку Python через TCP-соединение, обеспечивая первоначальный доступ к системе. Далее следует этап повышения привилегий для получения полноценной командной строки. С помощью системного вызова
execve изнутри Python-оболочки злоумышленник перемонтирует файловую систему в режим чтения и записи. После этого на скомпрометированное устройство загружается бинарный файл BusyBox. Финальным шагом создается символическая ссылка из /bin/sh на новый бинарный файл BusyBox, что предоставляет атакующему полный доступ к стандартной оболочке Linux и контроль над устройством. Исследователи watchTowr Labs также сообщили о других недавно обнаруженных уязвимостях. Петр Базыдло (Piotr Bazydlo) выявил ошибку в Progress Telerik UI for AJAX (CVE-2025-3600) с оценкой 7.5 (High). Эта уязвимость типа «отказ в обслуживании» (DoS) может быть повышена до удаленного выполнения кода (RCE) в зависимости от окружения цели. Компания Progress Software устранила ее 30 апреля 2025 года.
Другой исследователь, Сина Хейрха (Sina Kheirkhah), обнаружил критическую уязвимость в Dell UnityVSA (CVE-2025-36604). Она получила оценку 9.8 / 7.3 (Critical / High) и представляет собой доаутентификационную инъекцию команд, позволяющую удаленно выполнять команды на уязвимой системе.
