(https://i.imgur.com/l9fIfJn.jpeg)
Más de 115.000 dispositivos WatchGuard Firebox expuestos a Internet permanecen sin parchear frente a una vulnerabilidad crítica de ejecución remota de código (RCE) que ya está siendo explotada activamente en ataques reales. El fallo, identificado como CVE-2025-14733, representa una amenaza significativa para organizaciones de todo el mundo, especialmente pequeñas y medianas empresas que dependen de estos dispositivos como primera línea de defensa perimetral.
Los cortafuegos WatchGuard Firebox son ampliamente utilizados en entornos corporativos y gubernamentales para proteger redes internas, gestionar VPNs y controlar el tráfico entrante y saliente. La explotación exitosa de esta vulnerabilidad permitiría a atacantes no autenticados ejecutar código arbitrario de forma remota, comprometiendo por completo los dispositivos afectados y, potencialmente, toda la red protegida por ellos.
Versiones afectadas y alcance del fallo de seguridad
Según WatchGuard, CVE-2025-14733 afecta a los cortafuegos Firebox que ejecutan las siguientes versiones del sistema operativo Fireware OS:
- Fireware OS 11.x y posteriores, incluida la versión 11.12.4_Update1
- Fireware OS 12.x y posteriores, incluida la versión 12.11.5
- Fireware OS 2025.1 hasta la versión 2025.1.3, inclusive
El fallo puede ser explotado mediante ataques de baja complejidad, no requiere credenciales válidas ni interacción del usuario, lo que incrementa considerablemente su atractivo para actores maliciosos, incluidos grupos de ransomware, operadores de botnets y actores patrocinados por estados.
Explotación condicionada a configuraciones VPN IKEv2En un aviso de seguridad publicado el jueves, WatchGuard confirmó que la vulnerabilidad fue marcada como "explotada en estado natural", es decir, ya observada en campañas activas. La compañía explicó que los dispositivos Firebox solo son vulnerables si están configurados para VPNs que utilicen IKEv2, un protocolo ampliamente empleado para conexiones seguras entre usuarios remotos y sucursales.
No obstante, WatchGuard advirtió que el riesgo persiste incluso después de eliminar configuraciones vulnerables, ya que los dispositivos podrían seguir expuestos si existe una VPN de sucursal a sucursal (BOVPN) configurada con un par de gateway estático o dinámico.
CitarLa descripción técnica del fallo, recogida en la Base de Datos Nacional de Vulnerabilidades (NVD), señala que:
"El proceso WatchGuard Fireware OS contiene una vulnerabilidad de escritura fuera de límites. Esta falla puede permitir que un atacante remoto no autenticado ejecute código arbitrario y afecta tanto a VPNs de usuario móvil con IKEv2 como a VPNs de sucursal cuando se configuran con pares de gateway dinámicos."
Este tipo de vulnerabilidad de escritura fuera de límites es especialmente peligrosa en dispositivos perimetrales, ya que suele permitir control total del sistema una vez explotada.
Más de 117.000 dispositivos expuestos según ShadowserverLa gravedad del problema se ve reforzada por los datos recopilados por The Shadowserver Foundation, una organización especializada en la monitorización de amenazas en Internet. El sábado, Shadowserver detectó 124.658 instancias de Firebox sin parchear expuestas en línea, y al día siguiente la cifra seguía siendo alarmante, con 117.490 dispositivos aún accesibles desde Internet.
Estas cifras indican una adopción lenta de los parches de seguridad, un patrón recurrente en ataques dirigidos a dispositivos de red, donde la actualización suele retrasarse por miedo a interrupciones operativas.
Respuesta de WatchGuard y medidas de mitigaciónWatchGuard ha publicado indicadores de compromiso (IoC) para ayudar a los administradores a identificar si sus dispositivos Firebox han sido comprometidos. La empresa recomienda que, ante cualquier señal de actividad maliciosa, los clientes roten inmediatamente todos los secretos almacenados localmente, incluyendo credenciales, claves VPN y certificados.
Para aquellas organizaciones que no pueden aplicar los parches de inmediato, WatchGuard también proporcionó una solución temporal, que incluye:
- Desactivar BOVPNs con pares dinámicos
- Añadir nuevas políticas de firewall restrictivas
- Deshabilitar políticas predeterminadas del sistema relacionadas con el tráfico VPN
Si bien estas mitigaciones pueden reducir el riesgo, WatchGuard subraya que no sustituyen la aplicación del parche oficial, que sigue siendo la única solución definitiva.
CISA interviene y ordena parcheo inmediatoUn día después del lanzamiento de los parches, la Agencia de Ciberseguridad y Seguridad de Infraestructuras de EE. UU. (CISA) añadió CVE-2025-14733 a su Catálogo de Vulnerabilidades Explotadas Conocidas (KEV), una señal clara de que la amenaza es grave y urgente.
CISA también ordenó a las agencias del Poder Ejecutivo Civil Federal (FCEB) que parcheen los dispositivos Firebox vulnerables en un plazo máximo de una semana, antes del 26 de diciembre, en cumplimiento de la Directiva Operativa Vinculante (BOD) 22-01.
Citar"La explotación de este tipo de vulnerabilidades es un vector de ataque frecuente para actores cibernéticos maliciosos y supone riesgos significativos para la empresa federal", advirtió la agencia.
Un patrón recurrente en FireboxEste incidente no es aislado. En septiembre, WatchGuard corrigió una vulnerabilidad RCE casi idéntica, CVE-2025-9242, que también fue explotada activamente. Un mes después, Shadowserver detectó más de 75.000 Firebox vulnerables, principalmente en Norteamérica y Europa, lo que llevó nuevamente a CISA a intervenir.
Incluso dos años atrás, CISA ordenó el parcheo urgente de CVE-2022-23176, otra vulnerabilidad crítica que afectaba a dispositivos Firebox y XTM, confirmando un historial preocupante de fallos explotables en estos productos.
Riesgo sistémico para miles de organizacionesWatchGuard trabaja con más de 17.000 distribuidores y proveedores de servicios de seguridad y protege las redes de más de 250.000 pequeñas y medianas empresas en todo el mundo. La explotación masiva de CVE-2025-14733 podría tener impacto sistémico, facilitando desde espionaje corporativo hasta ataques de ransomware a gran escala.
Este nuevo episodio refuerza la necesidad crítica de gestión de parches proactiva, segmentación de red y monitorización continua, especialmente en dispositivos perimetrales que, cuando fallan, abren la puerta a compromisos totales de la infraestructura.
Fuente: https://www.bleepingcomputer.com/