La Fundación Wireshark ha lanzado la versión 4.4.4 de su ampliamente utilizado analizador de protocolos de red, que aborda una vulnerabilidad de alta gravedad que podría permitir a los atacantes desencadenar condiciones de denegación de servicio (DoS) mediante la inyección de paquetes maliciosos.
La actualización resuelve CVE-2025-1492, una falla en el protocolo Bundle y los disectores CBOR que causaban fallas, bucles infinitos y pérdidas de memoria al procesar tráfico de red especialmente diseñado.
Este marca el cuarto parche de seguridad de la serie 4.4.x, lo que subraya los riesgos persistentes asociados con las herramientas de análisis de protocolos en la seguridad de la red.
CVE-2025-1492 obtuvo una puntuación de 7,8 (alto) en la escala CVSS v3.1, lo que afecta a las versiones de Wireshark 4.4.0 a 4.4.3 y 4.2.0 a 4.2.10.
Los atacantes que aprovechen esta vulnerabilidad podrían interrumpir la resolución de problemas, el análisis y el monitoreo de la red al saturar los sistemas con paquetes con formato incorrecto.
La falla reside en cómo los disectores de Wireshark analizan las estructuras de datos del protocolo Bundle (utilizado en redes tolerantes a retrasos) y CBOR (representación concisa de objetos binarios).
La explotación exitosa bloquea la aplicación, deteniendo los diagnósticos críticos de la red y potencialmente permitiendo interrupciones más amplias del servicio.
Según el aviso de seguridad de Wireshark (wnpa-sec-2025-01), la vulnerabilidad se descubrió mediante pruebas fuzz automatizadas, un método que inyecta datos no válidos o aleatorios en el software para descubrir inestabilidad.
Esto se alinea con patrones históricos en los que los módulos disectores de protocolos que decodifican el tráfico de red han sido objetivos principales para los ataques DoS. Por ejemplo, vulnerabilidades anteriores en los disectores Bluetooth, Radiotap y AVDTP (CVE-2018-16056, CVE-2018-16057, CVE-2018-16058) permitieron de manera similar fallas a través de paquetes o archivos de seguimiento con formato incorrecto.
Lanzamiento de Wireshark 4.4.4
La versión 4.4.4 no solo corrige CVE-2025-1492 sino que también corrige 13 errores adicionales, incluidas regresiones de interfaz, errores de manejo de consultas DNS e imprecisiones de huellas dactilares JA4.
Se insta a los usuarios a actualizar de inmediato, ya que la vulnerabilidad no requiere autenticación ni interacción del usuario más allá de la inyección de paquetes, un vector de ataque factible tanto en redes locales como de acceso remoto. Los entornos empresariales que dependen de Wireshark para análisis forense de redes o detección de intrusiones están particularmente en riesgo, ya que un tiempo de inactividad prolongado podría ocultar las infracciones en curso.
Los mantenedores de Wireshark enfatizaron la importancia de actualizar todas las instancias y señalaron: “La inyección de paquetes maliciosos sigue siendo una amenaza persistente para las herramientas de análisis de red. Este parche refuerza la estabilidad del disector para evitar la explotación de escenarios extremos”6. La fundación también recomendó validar los archivos capturados de fuentes no confiables y emplear la segmentación de la red para limitar la exposición al tráfico malicioso9.
Esta actualización continúa la larga batalla de Wireshark contra las vulnerabilidades relacionadas con el disector. Solo en 2024, el proyecto resolvió 15 avisos de seguridad, incluidos bucles infinitos en disectores TLV MONGO y ZigBee (wnpa-sec-2024-07) y fallas en la decodificación HTTP3 (wnpa-sec-2024-03).
La última versión también sigue cambios arquitectónicos importantes, como la migración a Lua 5.4 y la adopción de zlib-ng para una compresión más rápida, lo que introdujo riesgos de compatibilidad que ahora se solucionan con actualizaciones menores.
A pesar de estos obstáculos, Wireshark sigue siendo indispensable para los profesionales de redes; según encuestas de la industria, más del 80% de las empresas confían en él para el análisis del tráfico.
Wireshark 4.4.4 está disponible para Windows, macOS y Linux a través del sitio web oficial y los administradores de paquetes. Las organizaciones que utilizan herramientas de implementación automatizadas deben priorizar esta actualización, mientras que los equipos de seguridad deben monitorear patrones de paquetes anómalos que indiquen intentos de explotación.
Como precaución, la Fundación Wireshark desaconseja ejecutar la herramienta con privilegios elevados y sugiere usar firewalls para restringir las interfaces de captura al personal autorizado.
