WatchGuard lança terceiro patch crítico para IKEv2 em dez meses, enquanto dispositivos Firebox legados permanecem expostos
TL;DR
WatchGuard lança terceiro patch crítico para IKEv2 em dez meses, enquanto dispositivos Firebox legados permanecem expostos
A WatchGuard Technologies acaba de lançar mais um patch de segurança urgente e, francamente, está começando a parecer um pesadelo recorrente. Estamos diante de uma vulnerabilidade crítica de execução remota de código (RCE) pré-autenticação — CVE-2026-13368 — que atinge seus appliances de firewall Firebox. Se você estiver acompanhando, esta é a terceira vez em apenas dez meses que o daemon VPN IKEv2 apresenta uma falha grave. É uma má reputação para uma plataforma que deveria ser a guardiã do perímetro da sua rede.
A vulnerabilidade, que atinge uma pontuação CVSS 4.0 de 9.2, é um erro clássico de corrupção de memória do tipo use-after-free. Em termos simples? É uma condição de corrida (race condition) acionada durante o processo de autenticação LDAP da VPN de Usuário Móvel quando o IKEv2 está em uso. Como isso é categorizado sob CWE-416, um invasor não autenticado pode intervir e potencialmente executar qualquer código que desejar no seu appliance com privilégios totais de sistema. É o equivalente digital de deixar a porta da frente destrancada e as chaves na ignição.
Escopo técnico e versões afetadas
As consequências dessa falha dependem muito de qual versão do Fireware OS seu equipamento está executando. Embora a WatchGuard tenha se apressado para corrigir seu hardware atual, a frequência dessas vulnerabilidades no IKEv2 levanta questões desconfortáveis sobre a postura de segurança de equipamentos legados. Pesquisadores de segurança acompanham essa tendência há algum tempo, observando que a implementação do IKEv2 está se tornando um alvo favorito para exploração — um ponto reforçado pela anterior CVE-2025-14733.
Se você estiver executando uma versão com suporte, você precisa instalar a atualização mais recente do Fireware OS o quanto antes. Para obter o detalhamento técnico completo e as instruções de implantação, consulte o aviso de segurança oficial da WatchGuard.
| Versão do Fireware OS | Status |
|---|---|
| 2026.2.1 | Corrigido |
| 12.12.1 | Corrigido |
| 12.5.x (T15/T35) | Sem correção |
| 11.x | Fim da vida útil (EOL) |
Exposição de hardware legado: Os dispositivos "esquecidos"
É aqui que a dor de cabeça realmente começa para os administradores de rede: o hardware legado. Especificamente, os modelos Firebox T15 e T35. Esses equipamentos ainda operam na versão 12.5.x, mas, até o momento, não há patch para a CVE-2026-13368. Se você tem um desses em seu rack e sua VPN IKEv2 está ativada, você está efetivamente sentado sobre um alvo.
A situação é pior para aqueles que ainda se apegam ao Fireware OS 11.x. Esses dispositivos já ultrapassaram sua data de Fim da Vida Útil (EOL), o que no jargão da indústria significa "você está por conta própria". Sem mais atualizações de segurança, sem mais patches e sem suporte. Se você está executando este firmware, você não está apenas atrasado na manutenção; você está operando em um estado permanente de exposição.
Mitigação e gerenciamento de ciclo de vida
Se você possui hardware moderno, o caminho a seguir é simples: atualize seu firmware. A WatchGuard disponibilizou os arquivos em seu portal de recursos oficial. Não espere por uma janela de manutenção que pode nunca chegar — aplique esses patches para neutralizar essa condição de corrida LDAP.
Além do combate a incêndios imediato, você precisa olhar para o ciclo de vida mais amplo da sua infraestrutura. A WatchGuard já sinalizou que o Firebox M290 atingirá seu status de Fim de Venda (EOS) em 1º de agosto de 2026. Ele está sendo substituído pelo M295, com o M290 oficialmente indo para a desativação em 1º de julho de 2031.
Aqui está a verificação da realidade para suas operações atuais:
- Ação imediata: Se você estiver em hardware com suporte, instale o Fireware OS 2026.2.1 ou 12.12.1 em todos os appliances voltados para a internet imediatamente.
- Risco legado: Se você estiver preso aos modelos T15 ou T35 na versão 12.5.x, a melhor opção é desativar os serviços de VPN IKEv2 completamente até que uma correção chegue ou você possa aposentar o hardware.
- Política de Fim da Vida Útil: A versão 11.x do firmware é um beco sem saída. Se você ainda a utiliza, você está permanentemente vulnerável. É hora de atualizar.
- Aquisição de hardware: Proprietários de unidades M290 ainda podem renovar serviços após a data EOS de agosto de 2026, mas não se surpreenda se a logística de substituição dessas unidades — incluindo requisitos regionais de cabos de energia — adicionar algum atrito ao seu processo de aquisição.
A natureza recorrente dessas falhas no IKEv2 é um lembrete claro de que "instalar e esquecer" é uma filosofia perigosa na segurança de rede. Auditorias regulares de firmware não são apenas uma boa prática; são uma necessidade. À medida que a indústria muda para estruturas de autenticação mais resilientes, a persistência desses bugs de corrupção de memória em daemons VPN continua sendo uma enorme dor de cabeça para todos os envolvidos. Fique de olho no portal PSIRT da WatchGuard — você vai precisar dele.