Imagen Principal

WatchGuard ha emitido una alerta de seguridad y lanzado parches para abordar una vulnerabilidad crítica en su sistema operativo Fireware que, según ha confirmado la compañía, ha sido explotada activamente en ataques en el mundo real. La vulnerabilidad, identificada como CVE-2025-14733, afecta a las configuraciones de VPN IKEv2 y tiene una puntuación CVSS de 9.3 (Crítica), permitiendo la ejecución remota de código por parte de atacantes no autenticados.

Detalles de la Vulnerabilidad (CVE-2025-14733)

La falla de seguridad es un caso de escritura fuera de límites (out-of-bounds write) que reside en el proceso iked de Fireware OS. Esta vulnerabilidad puede ser explotada por un atacante remoto sin necesidad de autenticación, lo que le permitiría ejecutar código arbitrario en el sistema.

Configuraciones afectadas:

  • VPN de usuario móvil con IKEv2.
  • VPN de sucursal (BOVPN) con IKEv2 configurada con un par de puerta de enlace dinámico.

WatchGuard advierte que incluso si estas configuraciones fueron eliminadas previamente, el dispositivo aún podría ser vulnerable si tiene configurada una VPN de sucursal a un par de puerta de enlace estático.

Versiones de Fireware OS Afectadas y Parches Disponibles

Es fundamental que los administradores de red apliquen las actualizaciones lo antes posible para mitigar el riesgo de explotación. Las versiones afectadas y las correcciones correspondientes son:

  • Fireware OS 2025.1: Parcheado en la versión 2025.1.4.
  • Fireware OS 12.x: Parcheado en la versión 12.11.6.
  • Fireware OS 12.5.x (Modelos T15 y T35): Parcheado en la versión 12.5.15.
  • Fireware OS 12.3.1 (Versión certificada FIPS): Parcheado en la versión 12.3.1_Update4 (B728352).
  • Fireware OS 11.x (11.10.2 hasta 11.12.4_Update1): Estas versiones han llegado al final de su vida útil (End-of-Life) y no recibirán parches. Se recomienda encarecidamente la actualización a una versión compatible.

Explotación Activa e Indicadores de Compromiso (IoCs)

WatchGuard ha confirmado que ha observado intentos activos de explotación de esta vulnerabilidad por parte de actores de amenazas. La compañía ha compartido indicadores de compromiso (IoCs) para que los propietarios de dispositivos puedan verificar si sus instancias han sido comprometidas:

  • Mensaje de registro: La presencia del mensaje “Received peer certificate chain is longer than 8. Reject this certificate chain” en los logs del Firebox, lo que indica que el dispositivo recibió una carga útil IKE2 Auth con más de 8 certificados.
  • Tamaño de carga útil: Un mensaje de registro IKE_AUTH request con un tamaño de carga útil CERT anormalmente grande (más de 2000 bytes).
  • Falla de proceso: Durante un intento de explotación exitoso, el proceso iked se colgará, interrumpiendo las conexiones VPN.
  • Informe de fallos: Después de un intento de explotación fallido o exitoso, el proceso iked se bloqueará y generará un informe de fallos en el Firebox.

Cabe destacar que una de las direcciones IP reportadas en los ataques (199.247.7[.]82) también fue señalada por Arctic Wolf por estar vinculada a la explotación de vulnerabilidades recientes en productos Fortinet (CVE-2025-59718 y CVE-2025-59719).

Mitigación Temporal

Para dispositivos con configuraciones de VPN de sucursal (BOVPN) vulnerables que no pueden actualizar de inmediato, WatchGuard recomienda una mitigación temporal. Los administradores deben:

  1. Deshabilitar las BOVPN con par dinámico.
  2. Crear un alias que incluya las direcciones IP estáticas de los pares BOVPN remotos.
  3. Agregar nuevas políticas de firewall que permitan el acceso desde el alias.
  4. Deshabilitar las políticas predeterminadas integradas que gestionan el tráfico VPN.

Conclusiones y Referencias

La identificación y explotación de CVE-2025-14733 se suma a una reciente serie de vulnerabilidades críticas en Fireware OS. Hace poco más de un mes, la Agencia de Ciberseguridad e Infraestructura (CISA) de EE. UU. agregó otra vulnerabilidad crítica de WatchGuard (CVE-2025-9242) a su catálogo de vulnerabilidades conocidas explotadas (KEV) debido a informes de explotación activa.

Se insta a los usuarios a aplicar las actualizaciones de parches de WatchGuard lo antes posible para protegerse contra estas amenazas.

Referencias

  • Advisory de WatchGuard sobre CVE-2025-14733 (El enlace real de la fuente original no está disponible, pero se asume que existe un advisory oficial).
  • CVE-2025-14733 - Vulnerabilidad Out-of-bounds write en iked de Fireware OS.
  • CVE-2025-9242 - Vulnerabilidad previa en Fireware OS agregada al catálogo KEV de CISA.
  • CVE-2025-59718 y CVE-2025-59719 - Vulnerabilidades de Fortinet vinculadas al mismo actor de amenazas.