WatchGuard ha emitido una alerta de seguridad urgente tras confirmar la explotación activa de una vulnerabilidad crítica en sus dispositivos Firebox, que permite la ejecución remota de código sin autenticación CVE-2025-9242. El fallo afecta al servicio iked de Fireware, responsable de la gestión de conexiones VPN IKEv2, y expone a miles de dispositivos perimetrales a un posible compromiso completo.

Detalles técnicos de la vulnerabilidad

La vulnerabilidad es un Out-of-Bounds Write en el servicio iked, lo que permite a un atacante escribir fuera de los límites de memoria previstos mediante paquetes especialmente manipulados. Esta condición puede ser explotada remotamente para ejecutar código arbitrario en el firewall afectado sin necesidad de autenticación previa.

El vector de ataque está asociado principalmente a configuraciones que utilizan dynamic gateway peers en entornos BOVPN. No obstante, WatchGuard ha advertido que incluso dispositivos sin configuraciones dinámicas activas pueden seguir siendo vulnerables si mantienen conexiones hacia static gateway peers.

Versiones afectadas

La vulnerabilidad impacta a las siguientes versiones de Fireware OS:

• 11.10.2 a 11.12.4 Update 1
• 12.0 a 12.11.5
• 2025.1 a 2025.1.3

Cualquier dispositivo Firebox que ejecute estas versiones y tenga habilitado el servicio VPN IKEv2 debe considerarse vulnerable.

Riesgos e impacto

La explotación exitosa de esta vulnerabilidad permite:

• Toma de control total del firewall.
• Intercepción y manipulación de tráfico de red.
• Persistencia a nivel de infraestructura perimetral.
• Movimiento lateral hacia sistemas internos.

Este tipo de fallos son especialmente críticos porque convierten un elemento defensivo en un punto de entrada para el atacante.

Mitigación y solución

WatchGuard ha publicado versiones corregidas de Fireware OS y recomienda:

• Actualizar inmediatamente a la versión parcheada correspondiente.
• Revisar y auditar todas las configuraciones BOVPN existentes.
• Monitorizar el servicio iked en busca de comportamientos anómalos.

Como mitigación temporal, si no es posible parchear de inmediato:

• Deshabilitar BOVPN dinámicas.
• Restringir el tráfico VPN mediante políticas explícitas.
• Desactivar reglas de sistema por defecto relacionadas con VPN si no son necesarias.
• Aplicar los indicadores de compromiso proporcionados por WatchGuard.
• Rotar todos los secretos almacenados localmente si se detecta compromiso.

Contexto y precedentes

En septiembre de 2025, WatchGuard corrigió otra vulnerabilidad RCE (CVE-2025-9242) que afectaba también a Firebox. Posteriormente, Shadowserver detectó más de 75.000 dispositivos aún vulnerables, y CISA la clasificó como explotada activamente.

Este patrón confirma que los dispositivos perimetrales son objetivos prioritarios para actores maliciosos y que los retrasos en la aplicación de parches incrementan drásticamente el riesgo.

• WatchGuard PSIRT — WGSA-2025-00027
• BleepingComputer — WatchGuard warns of new RCE flaw exploited in attacks