WatchGuard ha emitido hoy una alerta de seguridad de emergencia tras confirmar que una nueva vulnerabilidad crítica en sus dispositivos Firebox está siendo explotada activamente.
El fallo, rastreado como CVE-2025-14733 con una puntuación de severidad de 9.3 (Crítica), permite la Ejecución Remota de Código (RCE) sin necesidad de autenticación.
A diferencia de ataques anteriores que requerían acceso al panel web, este ataque se dirige directamente al corazón de la conectividad remota: el servicio VPN.
El Vector de Ataque: El Proceso ‘iked’
La vulnerabilidad reside en el proceso iked, responsable de manejar el intercambio de claves para las conexiones VPN (IKEv2).
Un atacante remoto puede enviar paquetes especialmente manipulados al firewall para provocar un desbordamiento de escritura fuera de límites (Out-of-bounds Write).
- El Resultado: Si tiene éxito, el atacante obtiene control total del dispositivo con privilegios de sistema, permitiéndole espiar el tráfico, robar credenciales o pivotar hacia la red interna de la empresa.
Configuraciones Afectadas:
Eres vulnerable si tu Firebox está configurado para:
- Mobile User VPN con IKEv2.
- Branch Office VPN usando IKEv2 con un “gateway peer” dinámico.
Indicadores de Compromiso (IoC)
Dado que esto es un Zero-Day (explotado antes del parche), aplicar la actualización hoy no garantiza que estés limpio. WatchGuard ha compartido señales clave para buscar en tus logs:
- Logs de IKE: Busca mensajes de solicitud IKE_AUTH que contengan un payload de certificado (CERT) anormalmente grande (mayor a 2,000 bytes).
- Cuelgues del Proceso: Si observas en los registros que el proceso iked se ha reiniciado inesperadamente o ha generado reportes de fallo, podría ser un intento de explotación fallido.
- Tráfico Sospechoso: WatchGuard ha publicado una lista de IPs atacantes en su aviso oficial; cualquier conexión entrante desde ellas debe ser bloqueada.
¿Por qué otra vez WatchGuard?
Este incidente ocurre apenas un mes después de que CISA añadiera otro fallo similar de WatchGuard (CVE-2025-9242) a su catálogo de explotación conocida. Esto indica que los grupos de amenazas (posiblemente State-Sponsored) han puesto el foco en la ingeniería inversa del protocolo VPN de Fireware OS para encontrar múltiples puertas de entrada.
Guía de Actualización Inmediata
WatchGuard ha liberado parches hoy mismo. Debes actualizar a estas versiones o superiores inmediatamente:
| Línea de Producto / Versión | Versión Parcheada (Segura) |
| Fireware OS 2025.1.x | 2025.1.4 |
| Fireware OS 12.x | 12.11.6 |
| Fireware OS 12.5.x (Modelos T15 & T35) | 12.5.15 |
| Fireware OS 12.3.1 (Certificado FIPS) | 12.3.1_Update4 |
Mitigación Temporal:
Si no puedes reiniciar el firewall ahora mismo, la única mitigación efectiva es deshabilitar las VPNs de usuario móvil IKEv2 y las VPNs de sucursal dinámicas hasta que puedas parchear.
