Actualizar o ser hackeado: Firebox exige la instalación inmediata de parches

La empresa WatchGuard informó sobre una vulnerabilidad crítica en los cortafuegos Firebox que permite la ejecución remota de código arbitrario. El problema recibió el identificador CVE-2025-9242 y es causado por un error de escritura fuera de los límites en el proceso iked del sistema operativo Fireware. Para que un ataque tenga éxito basta que el dispositivo esté configurado para usar VPN con el protocolo IKEv2. El riesgo persiste incluso después de eliminar las configuraciones vulnerables si en el dispositivo quedó un túnel BOVPN conectado a una puerta de enlace estática.

Están en riesgo los dispositivos con Fireware OS versiones 11.x (fuera de soporte), 12.x y 2025.1. El fabricante publicó correcciones en las compilaciones 12.3.1_Update3 (B722811), 12.5.13, 12.11.4 y 2025.1.1. La vulnerabilidad afecta a una amplia gama de modelos: desde los compactos T15, T20, T25, T35, T40 y T55 hasta las series M más potentes (M270, M370, M470, M670, M5800, entre otros), así como las soluciones en la nube Firebox Cloud, FireboxV y NV5. En la línea 2025.1.x son vulnerables T115-W, T125, T125-W, T145, T145-W y T185.

La empresa aclaró que la vulnerabilidad puede explotarse tanto contra conexiones VPN móviles basadas en IKEv2 como contra túneles de oficina entre sucursales. Incluso si los administradores eliminaron la configuración del par dinámico, los dispositivos pueden seguir siendo vulnerables si se mantiene una conexión estática.

Para quienes no puedan instalar las actualizaciones de inmediato, se propone una solución temporal: desactivar los pares dinámicos BOVPN, crear nuevas reglas de filtrado y desactivar las políticas del sistema por defecto para el tratamiento del tráfico VPN. Las instrucciones detalladas se publicaron en la documentación de soporte de WatchGuard.

Aunque por el momento no hay datos de ataques dirigidos a través de CVE-2025-9242, los especialistas advierten que este tipo de dispositivos despierta un interés particular entre los atacantes. Como ejemplo se cita el uso activo por parte del grupo Akira de la vulnerabilidad CVE-2024-40766 para comprometer los cortafuegos SonicWall. Anteriormente, en 2022, la Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA) ya obligó a las agencias federales a corregir otra falla activamente explotada en Firebox y XTM.

WatchGuard opera a través de una red de más de 17 000 revendedores y proveedores de servicios, protegiendo a más de 250 000 pequeñas y medianas empresas en todo el mundo. El fabricante insta a los administradores a actualizar los dispositivos de inmediato para eliminar el riesgo de explotación de la vulnerabilidad.