La compañía de seguridad WatchGuard alertó de una falla crítica en sus dispositivos Firebox, confirmando la existencia de intentos de explotación activa en entornos reales.
La vulnerabilidad es de tipo Out-of-Bounds Write y afecta al servicio iked de Fireware, el sistema operativo que gestiona las conexiones VPN IKEv2 en los firewalls de la compañía, y permite que un atacante sin necesidad de autenticación ejecute código arbitrario en el dispositivo afectado. Las versiones comprometidas son Fireware OS 11.10.2 hasta 11.12.4_Update1 inclusive, 12.0 hasta 12.11.5 inclusive y 2025.1 hasta 2025.1.3 inclusive.
El fallo afecta principalmente a las configuraciones que utilizan dynamic gateway peers, un tipo de configuración VPN que permite a los firewalls conectarse dinámicamente a otros dispositivos remotos. La compañía alerta que, incluso si se eliminan configuraciones antiguas de este tipo, los dispositivos pueden seguir siendo vulnerables si existe una conexión activa hacia un static gateway peer.
WatchGuard ha publicado versiones parcheadas de Fireware que corrigen la vulnerabilidad y recomienda a todos los usuarios instalar la versión correspondiente en sus dispositivos, así como revisar las configuraciones VPN existentes y supervisar la actividad del servicio iked para detectar posibles intentos de explotación.
Para organizaciones que no puedan parchear inmediatamente, WatchGuard ha proporcionado un workaround temporal que implica deshabilitar las BOVPN dinámicas, añadir nuevas políticas de firewall y deshabilitar las políticas de sistema predeterminadas que gestionan el tráfico VPN. Además, la compañía ha compartido indicadores de compromiso (IoCs) para ayudar a los clientes a comprobar si sus Firebox han sido comprometidos, bajo la recomendación de rotar todos los secretos almacenados localmente en los dispositivos vulnerables en caso de detectar actividad maliciosa.
En septiembre de 2025, Watchguard ya identificó una vulnerabilidad de ejecución remota de código (CVE‑2025‑9242), que también afectaba a los firewalls Firebox. Un mes después, Shadowserver detectó más de 75,000 dispositivos Firebox aún vulnerables a esa falla, principalmente en Norteamérica y Europa; y semanas después fue etiquetada como activamente explotada por la Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA), lo que subraya la importancia de mantener los sistemas actualizados e instalar los parches de seguridad.
Más información:
- WatchGuard Firebox iked Out of Bounds Write Vulnerability https://www.watchguard.com/wgrd-psirt/advisory/wgsa-2025-00027#:~:text=An%20Out%2Dof%2Dbounds%20Write,with%20a%20dynamic%20gateway%20peer.
- New critical WatchGuard Firebox firewall flaw exploited in attacks https://www.bleepingcomputer.com/news/security/watchguard-warns-of-new-rce-flaw-in-firebox-firewalls-exploited-in-attacks/
Deja una respuesta