WatchGuard Firebox – PoC pubblico per CVE-2025-9242. RCE pre-auth su VPN IKEv2, rischio massimo su firewall perimetrali
Da metà ottobre sono disponibili exploit pubblici (PoC) per CVE-2025-9242, una vulnerabilità critica (CVSS 9.3) che affligge i firewall WatchGuard Firebox con Fireware OS tra le versioni 11.10.2 → 11.12.4_Update1, 12.0 → 12.11.3, 2025.1, e versioni legacy. Il difetto consiste in una scrittura out-of-bounds nel processo iked durante la gestione del payload IKEv2 VPN, e permette la compromissione totale del dispositivo prima dell’autenticazione.
Un attaccante può inviare un pacchetto IKEv2 artefatto al servizio VPN esposto su Internet, causando un overflow sullo stack kernel (buffer CERT non validato, funzione ike2_ProcessPayload_CERT). L’exploit pubblicato da WatchTowr Lab consente di ottenere una shell remota, eseguire codice arbitrario e scalare a root tramite manomissione post-exploit (BusyBox drop e symlink /bin/sh).
L’impatto concreto include:
- Accesso persistente all’apparato di frontiera,
- Possibilità di pivoting sulla LAN protetta,
- Installazione di malware e ransomware (scenario preferito dai threat actor),
- Controllo del traffico in transito e delle policy sicurezza.
La sola eliminazione dei profili VPN dinamici non risolve sempre la vulnerabilità: rimangono esposti anche i peer statici con configurazioni non aggiornate.
Diffusione ed esposizione
- Oltre 75.000 firewall vulnerabili censiti da Shadowserver esposti su Internet: Stati Uniti, Germania, Italia, Francia, UK tra i paesi più colpiti.
Azioni consigliate:
- Aggiornare immediatamente Fireware OS alle versioni corrette:
- 2025.1 → 2025.1.1
- 12.x → 12.11.4
- 11.x → End of Life (sostituire hardware)
- Verificare che nessun peer VPN statico/dinamico non aggiornato sia configurato
- Segmentare la gestione admin e VPN su canali separati e non accessibili da WAN
- Monitorare i log per traffico anomalo su IKEv2 e tentativi di exploit