WatchGuard lanza el tercer parche crítico para IKEv2 en diez meses mientras los dispositivos Firebox heredados permanecen expuestos
TL;DR
WatchGuard lanza el tercer parche crítico para IKEv2 en diez meses mientras los dispositivos Firebox heredados permanecen expuestos
WatchGuard Technologies acaba de lanzar otro parche de seguridad urgente y, francamente, empieza a sentirse como una pesadilla recurrente. Estamos ante una vulnerabilidad crítica de ejecución remota de código (RCE) previa a la autenticación, la CVE-2026-13368, que afecta a sus dispositivos firewall Firebox. Si llevamos la cuenta, esta es la tercera vez en solo diez meses que su demonio VPN IKEv2 presenta una brecha grave. Es una mala imagen para una plataforma que se supone debe ser el guardián del perímetro de su red.
La vulnerabilidad, que alcanza una puntuación CVSS 4.0 de 9.2, es un error clásico de corrupción de memoria de tipo "use-after-free". En términos sencillos: es una condición de carrera (race condition) que se activa durante el proceso de autenticación LDAP de la VPN de usuario móvil cuando IKEv2 está en uso. Debido a que esto se clasifica bajo CWE-416, un atacante no autenticado puede intervenir y potencialmente ejecutar cualquier código que desee en su dispositivo con privilegios completos del sistema. Es el equivalente digital a dejar la puerta principal abierta y las llaves puestas en el contacto.
Alcance técnico y versiones afectadas
Las consecuencias de este fallo dependen en gran medida de la rama de Fireware OS que esté ejecutando su equipo. Aunque WatchGuard se ha apresurado a parchear su hardware actual, la frecuencia de estas vulnerabilidades en IKEv2 plantea preguntas incómodas sobre la postura de seguridad de los equipos heredados (legacy). Los investigadores de seguridad han estado siguiendo esta tendencia durante un tiempo, señalando que la implementación de IKEv2 se está convirtiendo en un objetivo favorito para la explotación, un punto reforzado por la anterior CVE-2025-14733.
Si está ejecutando una versión compatible, debe instalar la última actualización de Fireware OS cuanto antes. Para obtener el desglose técnico completo y las instrucciones de implementación, consulte el aviso de seguridad oficial de WatchGuard.
| Versión de Fireware OS | Estado |
|---|---|
| 2026.2.1 | Parcheado |
| 12.12.1 | Parcheado |
| 12.5.x (T15/T35) | Sin parchear |
| 11.x | Fin de vida útil (EOL) |
Exposición del hardware heredado: Los dispositivos "olvidados"
Aquí es donde el dolor de cabeza realmente comienza para los administradores de red: el hardware heredado. Específicamente, los modelos Firebox T15 y T35. Estos equipos siguen funcionando en la rama 12.5.x, pero hasta el momento, no hay parche para la CVE-2026-13368. Si tiene uno de estos en su rack y su VPN IKEv2 está habilitada, está efectivamente sentado sobre un objetivo.
La situación empeora para aquellos que aún se aferran a Fireware OS 11.x. Estos dispositivos han superado su fecha de fin de vida útil (EOL), lo que en la industria significa "estás por tu cuenta". No más actualizaciones de seguridad, no más parches y sin soporte. Si está ejecutando este firmware, no solo está atrasado en el mantenimiento; está operando en un estado de exposición permanente.
Mitigación y gestión del ciclo de vida
Si tiene hardware moderno, el camino a seguir es simple: actualice su firmware. WatchGuard tiene los archivos esperándole en su portal de recursos oficial. No espere a una ventana de mantenimiento que quizás nunca llegue: aplique estos parches para neutralizar esa condición de carrera LDAP.
Más allá de la lucha inmediata contra incendios, debe observar el ciclo de vida general de su infraestructura. WatchGuard ya ha señalado que el Firebox M290 alcanzará su estado de fin de venta (EOS) el 1 de agosto de 2026. Está siendo reemplazado por el M295, y el M290 llegará oficialmente al final de su vida útil el 1 de julio de 2031.
Aquí está la realidad para sus operaciones actuales:
- Acción inmediata: Si utiliza hardware compatible, instale Fireware OS 2026.2.1 o 12.12.1 en todos los dispositivos expuestos a Internet de inmediato.
- Riesgo heredado: Si está atrapado con modelos T15 o T35 en la rama 12.5.x, su mejor opción es deshabilitar los servicios VPN IKEv2 por completo hasta que llegue una solución o pueda retirar el hardware.
- Política de fin de vida útil: La versión de firmware 11.x es un callejón sin salida. Si todavía la está usando, es permanentemente vulnerable. Es hora de actualizar.
- Adquisición de hardware: Los propietarios de unidades M290 aún pueden renovar servicios después de la fecha EOS de agosto de 2026, pero no se sorprenda si la logística de reemplazo de estas unidades, incluidos los requisitos regionales de cables de alimentación, añade fricción a su proceso de adquisición.
La naturaleza recurrente de estos fallos en IKEv2 es un claro recordatorio de que la filosofía de "instalar y olvidar" es peligrosa en la seguridad de redes. Las auditorías regulares de firmware no son solo una buena práctica; son una necesidad. A medida que la industria avanza hacia marcos de autenticación más resistentes, la persistencia de estos errores de corrupción de memoria en los demonios VPN sigue siendo un gran dolor de cabeza para todos los involucrados. Manténgase atento al portal PSIRT de WatchGuard; lo va a necesitar.