Underc0de - La Casa de los Informáticos

La compañía WatchGuard emitió esta semana actualizaciones de seguridad urgentes para corregir una vulnerabilidad de ejecución remota de código (RCE) que afecta a los firewalls Firebox, uno de los productos más utilizados por pequeñas y medianas empresas para proteger sus redes.

El fallo, identificado como CVE-2025-9242, fue catalogado como crítico debido a que permite que atacantes remotos, sin necesidad de autenticación, ejecuten código malicioso en dispositivos vulnerables tras una explotación exitosa.

Detalles técnicos de CVE-2025-9242

La vulnerabilidad está causada por una debilidad de escritura fuera de límites en el proceso iked de Fireware OS, el sistema operativo que gestionan los firewalls Firebox.

Este error afecta a los dispositivos configurados con VPN IKEv2, tanto en la modalidad de VPN de usuario móvil como en la VPN de sucursal cuando se emplea un par de puerta de enlace dinámica.

Los dispositivos impactados son aquellos que ejecutan:

• Fireware OS 11.x (fin de vida útil, sin soporte)
• Fireware OS 12.x
• Fireware OS 2025.1

La vulnerabilidad fue corregida en las versiones:

• 12.3.1_Update3 (B722811)
• 12.5.13
• 12.11.4
• 2025.1.1

Riesgo residual: dispositivos vulnerables incluso tras eliminar configuraciones

WatchGuard explicó en su aviso de seguridad que los firewalls Firebox podrían seguir siendo vulnerables incluso si las configuraciones afectadas ya fueron eliminadas.

Esto ocurre cuando:

• El dispositivo estuvo configurado previamente con una VPN de usuario móvil IKEv2 o con una VPN de sucursal IKEv2 a un par de puerta de enlace dinámica.
• Aunque esas configuraciones se eliminaron, el Firebox aún mantiene activa una VPN de sucursal con par de puerta de enlace estática.

En esos casos, el firewall sigue expuesto al riesgo de explotación remota.

Soluciones temporales para administradores

Para quienes no pueden aplicar el parche de inmediato, WatchGuard recomienda implementar una mitigación temporal en dispositivos Firebox vulnerables con túneles BOVPN (Branch Office VPN) configurados con pares de puerta de enlace estáticos.

La solución consiste en:

• Deshabilitar las BOVPN dinámicas del mismo nivel.
• Agregar nuevas políticas de firewall personalizadas.
• Deshabilitar las políticas predeterminadas del sistema que gestionan tráfico VPN.

Estas medidas están documentadas en un artículo de soporte oficial de WatchGuard, que ofrece instrucciones detalladas para proteger el acceso a las BOVPN que utilizan IPSec e IKEv2.

Contexto: firewalls en la mira de actores de amenazas

Aunque hasta ahora no se ha detectado explotación activa de CVE-2025-9242, los especialistas recomiendan parchear cuanto antes. Los firewalls perimetrales suelen ser un objetivo atractivo para grupos de ransomware y cibercriminales, dado que un fallo en ellos puede abrir la puerta a toda la red corporativa.

Casos recientes confirman la relevancia de esta amenaza:

• Ransomware Akira: actualmente explota activamente CVE-2024-40766, una vulnerabilidad crítica de hace un año en firewalls SonicWall.
• Abril de 2022: la CISA (Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU.) ordenó a las agencias federales corregir un fallo en dispositivos WatchGuard Firebox y XTM que ya estaba siendo explotado en la naturaleza.

Estos antecedentes muestran que los ciberatacantes suelen aprovechar vulnerabilidades en firewalls con retraso en la aplicación de parches, maximizando el impacto.

Recomendaciones para empresas y administradores

Para reducir riesgos asociados a CVE-2025-9242, los especialistas en ciberseguridad aconsejan a los administradores de redes:

• Actualizar inmediatamente a las versiones corregidas de Fireware OS.
• Aplicar las mitigaciones temporales en caso de no poder actualizar aún.
• Revisar las configuraciones de VPN IKEv2 para detectar posibles vectores de ataque.
• Implementar monitoreo de logs y alertas para identificar intentos de explotación.
• Restringir accesos innecesarios a servicios expuestos a Internet.

Adicionalmente, se recomienda adoptar un enfoque de defensa en profundidad, complementando la seguridad del firewall con sistemas de detección de intrusos, autenticación multifactor (MFA) y segmentación de red.

Impacto global de WatchGuard Firebox

WatchGuard colabora con más de 17.000 revendedores y proveedores de servicios de seguridad en todo el mundo. Sus soluciones protegen las redes de más de 250.000 pequeñas y medianas empresas (pymes), lo que hace que cualquier vulnerabilidad en sus productos tenga un impacto potencial masivo en el ecosistema empresarial global.

Por esta razón, los expertos consideran que la pronta respuesta de WatchGuard y la publicación de parches representan un paso clave para contener los riesgos de explotación futura.

En fin...

La vulnerabilidad CVE-2025-9242 en los firewalls WatchGuard Firebox es un recordatorio contundente de que los dispositivos de seguridad perimetral no están exentos de fallos críticos. Aunque no se ha reportado explotación activa, la historia reciente de ciberataques contra firewalls muestra que los actores de amenazas no tardan en aprovechar estas debilidades.

La acción inmediata de los administradores es crucial: aplicar parches, revisar configuraciones y, en su defecto, implementar mitigaciones temporales. Solo así las organizaciones podrán reducir la exposición al riesgo y mantener la seguridad de sus redes frente a posibles ataques dirigidos.

Fuente: https://www.bleepingcomputer.com/