Múltiples Vulnerabilidades de RCE y Ejecución de Código en WatchGuard Firebox (Fireware OS)

WatchGuard ha revelado tres vulnerabilidades de alto impacto (puntuación CVSS v4.0 de 8.6) en su sistema operativo Fireware OS que afectan a los dispositivos cortafuegos Firebox. Estos fallos permiten a un administrador autenticado ejecutar código arbitrario y lograr control total sobre los dispositivos de hardware, virtualización y en la nube.


Veredicto Analítico
  • Estado: Confirmado. Parches de seguridad oficiales disponibles en las versiones más recientes.
  • Confianza: Absoluta. Validado directamente por los avisos de seguridad de WatchGuard.
  • Riesgo para SOC, TDIR y Redes: Alto. Un atacante que logre comprometer credenciales administrativas puede instalar puertas traseras, alterar las reglas del firewall, o extraer secretos de la configuración VPN, comprometiendo todo el perímetro de red.
  • Urgencia Operativa: Alta. El proveedor no ofrece soluciones alternativas (workarounds), por lo que la aplicación de parches es la única medida efectiva. Algunas versiones heredadas se encuentran en estado de “fin de vida” (EOL) y requieren migración inmediata.
  • Base del Veredicto: Deficiencias críticas en la validación de comandos y parámetros en la interfaz de línea de comandos (CLI) y la interfaz web de administración, lo que resulta en escrituras fuera de límites y recorrido de rutas.

Hallazgos Clave
  • Vulnerabilidades Identificadas (Severidad: Alta):
    • CVE‑2026‑13053: Escritura fuera de límites en el controlador de comandos CLI.
    • CVE‑2026‑13050: Escritura fuera de límites en el proceso networkd mediante solicitudes a la interfaz web.
    • CVE‑2026‑13054: Recorrido de ruta en la interfaz web de administración que permite la escritura arbitraria de archivos.
  • Versiones Afectadas: Fireware OS 11.0 a 11.12.4_Update1, 12.0 a 12.12, 12.5 a 12.5.18 y 2025.1 a 2026.2.
  • Aviso de Soporte: Las versiones de la serie 11.x están descatalogadas (sin soporte de parches). Además, en los modelos de formato pequeño T15 y T35, la vulnerabilidad sigue “sin resolver” en la rama 12.5.x.

Análisis Técnico: Mecanismo de Explotación

Dado que se trata de vulnerabilidades posteriores a la autenticación (post-auth), el ataque sigue una progresión específica:

  • Infiltración Inicial (Acceso Autenticado): El atacante compromete primero las credenciales de un administrador (ej. mediante phishing, fuerza bruta o reutilización de contraseñas) o abusa del acceso interno desde una estación de trabajo de gestión.
  • Fallo en la Validación (Explotación): Una vez iniciada la sesión, el atacante inyecta comandos malformados a través de la CLI o envía peticiones HTTP manipuladas a la interfaz web. Al no haber validación de límites, se desborda la memoria (en el manejador de la CLI o en networkd) o se evaden las restricciones del directorio.
  • Impacto Operativo (RCE y Persistencia): Las escrituras fuera de límites permiten ejecutar código arbitrario con privilegios máximos del sistema. Simultáneamente, el recorrido de rutas (CVE-2026-13054) permite al atacante sobrescribir scripts de arranque, tareas programadas (cron jobs) o archivos críticos, garantizando una persistencia silenciosa y muy difícil de detectar.

Tácticas, Técnicas y Procedimientos (MITRE ATT&CK)
  • Acceso Inicial: Cuentas Válidas (Valid Accounts – T1078). Es requisito indispensable poseer credenciales de administrador.
  • Ejecución: Intérprete de Comandos y Scripts (Command and Scripting Interpreter – T1059) mediante la manipulación de la interfaz CLI de Fireware.
  • Persistencia: Ejecución Programada / Cron (Scheduled Task/Job – T1053) y Ejecución en el Arranque (Boot or Logon Initialization Scripts – T1037) aprovechando la escritura arbitraria de archivos.

Recomendaciones Operativas

Para Administración de Redes y TI (Acción Prioritaria)

  • Parcheo Inmediato: Actualizar los dispositivos Firebox a las versiones corregidas (Fireware OS 2026.2.1 o 12.12.1).
  • Plan de Migración: Planificar urgentemente la sustitución o actualización de plataformas descatalogadas (rama 11.x y modelos T15/T35 que ejecuten 12.5.x) que no recibirán correcciones de seguridad.
  • Restricción Perimetral: Limitar estrictamente el acceso a las interfaces de administración (CLI y Web) de Firebox, permitiendo el acceso únicamente desde redes de gestión segmentadas (Out-of-Band).

Para el Centro de Operaciones de Seguridad (SOC)

  • Refuerzo de Autenticación: Asegurar que la Autenticación Multifactor (MFA) esté estrictamente habilitada para todas las cuentas con privilegios administrativos en los dispositivos WatchGuard.
  • Monitoreo y Auditoría: Configurar el SIEM para alertar sobre cualquier actividad inusual de nivel de administrador, intentos de configuración anómalos o creación de tareas programadas no autorizadas desde la CLI o la interfaz web.

Related Post