CISA warnt vor WatchGuard Firebox: Kritische Out-of-Bounds-Write-Sicherheitslücke bedroht VPN-Funktionalität

Schwachstelle im iked-Prozess ermöglicht Codeausführung – CVE-2025-9242

In mehreren Versionen des WatchGuard Fireware OS wurde eine Out-of-Bounds-Write-Sicherheitslücke im Prozess iked entdeckt. Diese Komponente ist für die Verarbeitung von IKEv2-basiertem VPN-Datenverkehr zuständig.

Ein nicht authentifizierter Angreifer kann speziell präparierte IKE_AUTH-Nachrichten an eine Firebox senden und so potenziell beliebigen Code auf dem Gerät ausführen.

Die Schwachstelle betrifft sowohl:

• das Mobile User VPN mit IKEv2 als auch

• das Branch Office VPN mit IKEv2,
  sofern diese mit einem dynamischen Gateway-Peer konfiguriert sind.

Selbst wenn die entsprechenden VPN-Konfigurationen gelöscht wurden, kann das Gerät unter bestimmten Umständen weiterhin anfällig bleiben – insbesondere, wenn noch ein statisches Gateway-Peer aktiv ist.

Betroffene Versionen

Laut WatchGuard und CISA betrifft die Schwachstelle folgende Fireware-OS-Versionen:

• 11.10.2 bis einschließlich 11.12.4_Update1

• 12.0 bis einschließlich 12.11.3

• 2025.1 (vor Version 2025.1.1)

Unternehmen sollten daher dringend prüfen, ob ihre Systeme noch eine der betroffenen Versionen einsetzen.

Aktive Ausnutzung in freier Wildbahn

CISA und WatchGuard verweisen auf Hinweise aktiver Ausnutzung der Schwachstelle. Bereits am 21. Oktober 2025 wurde der Sicherheitshinweis erweitert, um Indikatoren für Angriffe (IoAs) zu veröffentlichen.
Ein Update vom 7. November 2025 korrigierte zudem Details zur Protokollierung der IDi-Nutzlastgröße.

Anzeichen für laufende Angriffe (Indicators of Attack)

Administratoren sollten insbesondere auf folgende Anzeichen achten:

• Ungewöhnlich große IDi-Nutzlast in IKE_AUTH-Anfragen (über 100 Byte).
  Beispielhafte Protokollzeile:

iked: IKE_AUTH-Anforderung hat IDi(sz=300)

• Hängender IKED-Prozess: VPN-Verbindungen brechen plötzlich ab, da der Prozess nicht mehr reagiert.

• Abstürze des IKED-Prozesses: Fehlerberichte auf der Firebox können auf erfolgreiche oder fehlgeschlagene Exploit-Versuche hindeuten.

Empfohlene Gegenmaßnahmen

WatchGuard empfiehlt, sofort auf eine fehlerbereinigte Version von Fireware OS zu aktualisieren.
Darüber hinaus sollten Administratoren:

1. Alle lokal gespeicherten Geheimnisse (Shared Secrets) auf anfälligen Firebox-Geräten rotieren.

2. Die IKE-Diagnoseprotokollierung auf „Info“ setzen, um potenzielle Angriffsmuster zu erkennen.

3. VPN-Verbindungen zu dynamischen Gateway-Peers deaktivieren oder auf statische Konfigurationen umstellen, sofern ein Update kurzfristig nicht möglich ist.

Wer ausschließlich VPN-Tunnel mit statischen Gateway-Peers betreibt, kann vorübergehend die empfohlenen WatchGuard-Best-Practices für sicheren IPSec- und IKEv2-Zugriff befolgen.

Sofortiges Handeln erforderlich

Die Kombination aus kritischer Schwachstelle, aktiver Ausnutzung und zentraler Rolle der Firebox im Netzwerk macht das Risiko besonders brisant.
Organisationen, die WatchGuard Fireware OS einsetzen, sollten unverzüglich prüfen, ob ihre Systeme betroffen sind, aktualisieren und Sicherheitsdaten rotieren.

Sicherheitsexperten sehen in der Offenlegung dieser Schwachstelle ein weiteres Beispiel dafür, wie wichtig eine enge Verzahnung von Patch-Management und Incident Response in modernen Sicherheitsstrategien ist.