WatchGuard lanza el tercer parche crítico para IKEv2 en diez meses mientras los dispositivos Firebox antiguos siguen expuestos
TL;DR
WatchGuard lanza el tercer parche crítico para IKEv2 en diez meses mientras los dispositivos Firebox antiguos siguen expuestos
WatchGuard Technologies acaba de lanzar otro parche de seguridad urgente y, francamente, empieza a sentirse como una pesadilla recurrente. Estamos ante una vulnerabilidad crítica de ejecución remota de código (RCE) previa a la autenticación—CVE-2026-13368—que afecta a sus dispositivos firewall Firebox. Si llevamos la cuenta, esta es la tercera vez en solo diez meses que su demonio VPN IKEv2 presenta una filtración grave. Es una mala imagen para una plataforma que se supone debe ser el guardián del perímetro de su red.
La vulnerabilidad, que alcanza una puntuación CVSS 4.0 de 9.2, es un error clásico de corrupción de memoria por uso después de liberación (use-after-free). ¿En términos sencillos? Es una condición de carrera provocada durante el proceso de autenticación LDAP de la VPN para usuarios móviles cuando IKEv2 está activo. Debido a que esto se clasifica bajo CWE-416, un atacante no autenticado puede intervenir y potencialmente ejecutar cualquier código que desee en su dispositivo con privilegios completos del sistema. Es el equivalente digital a dejar la puerta principal abierta y las llaves en el encendido.
Alcance técnico y versiones afectadas
Las consecuencias de esta falla dependen en gran medida de qué rama del sistema operativo Fireware esté ejecutando su equipo. Si bien WatchGuard se ha apresurado a parchear su hardware actual, la frecuencia de estas vulnerabilidades en IKEv2 plantea preguntas incómodas sobre la postura de seguridad de los equipos antiguos. Los investigadores de seguridad han estado siguiendo esta tendencia durante un tiempo, señalando que la implementación de IKEv2 se está convirtiendo en un objetivo favorito para la explotación, un punto reforzado por la anterior CVE-2025-14733.
Si está ejecutando una versión compatible, debe instalar la última actualización de Fireware OS cuanto antes. Para obtener el desglose técnico completo y las instrucciones de implementación, consulte el aviso de seguridad oficial de WatchGuard.
| Versión de Fireware OS | Estado |
|---|---|
| 2026.2.1 | Parcheado |
| 12.12.1 | Parcheado |
| 12.5.x (T15/T35) | Sin parchear |
| 11.x | Fin de vida útil (EOL) |
Exposición de hardware antiguo: Los dispositivos "olvidados"
Aquí es donde realmente comienza el dolor de cabeza para los administradores de red: el hardware antiguo. Específicamente, los modelos Firebox T15 y T35. Estos equipos siguen funcionando en la rama 12.5.x, pero hasta el momento, no existe un parche para la CVE-2026-13368. Si tiene uno de estos en su rack y su VPN IKEv2 está habilitada, es un objetivo fácil.
La situación es peor para quienes aún se aferran a Fireware OS 11.x. Estos dispositivos han superado su fecha de fin de vida útil (EOL), lo que en la industria significa "estás por tu cuenta". No más actualizaciones de seguridad, no más parches y sin soporte. Si está ejecutando este firmware, no solo está atrasado en el mantenimiento; está operando en un estado de exposición permanente.
Mitigación y gestión del ciclo de vida
Si tiene hardware moderno, el camino a seguir es simple: actualice su firmware. WatchGuard tiene los archivos esperándole en su portal de recursos oficial. No espere a una ventana de mantenimiento que quizás nunca llegue: aplique estos parches para neutralizar esa condición de carrera LDAP.
Más allá de la lucha inmediata contra incendios, debe observar el ciclo de vida de su infraestructura en general. WatchGuard ya ha señalado que el Firebox M290 alcanzará su estado de fin de venta (EOS) el 1 de agosto de 2026. Está siendo reemplazado por el M295, y el M290 llegará oficialmente al final de su vida útil el 1 de julio de 2031.
Aquí está la realidad para sus operaciones actuales:
- Acción inmediata: Si utiliza hardware compatible, instale Fireware OS 2026.2.1 o 12.12.1 en todos los dispositivos expuestos a Internet de inmediato.
- Riesgo en equipos antiguos: Si está atrapado con modelos T15 o T35 en la rama 12.5.x, su mejor opción es deshabilitar los servicios VPN IKEv2 por completo hasta que llegue una solución o pueda retirar el hardware.
- Política de fin de vida útil: El firmware versión 11.x es un callejón sin salida. Si todavía lo usa, es permanentemente vulnerable. Es hora de actualizar.
- Adquisición de hardware: Los propietarios de unidades M290 aún pueden renovar servicios después de la fecha EOS de agosto de 2026, pero no se sorprenda si la logística de reemplazo de estas unidades, incluidos los requisitos de cables de alimentación regionales, añade fricción a su proceso de adquisición.
La naturaleza recurrente de estas fallas en IKEv2 es un claro recordatorio de que "configurar y olvidar" es una filosofía peligrosa en la seguridad de redes. Las auditorías periódicas de firmware no son solo una buena práctica; son una necesidad. A medida que la industria avanza hacia marcos de autenticación más resistentes, la persistencia de estos errores de corrupción de memoria en los demonios VPN sigue siendo un gran dolor de cabeza para todos los involucrados. Manténgase atento al portal PSIRT de WatchGuard; lo va a necesitar.