Kritische Sicherheitslücke in WatchGuard-VPN ermöglicht Codeausführung aus der Ferne

In WatchGuard-Firebox-Geräten ist eine schwerwiegende Sicherheitslücke entdeckt worden, die es Angreifern aus der Ferne ermöglicht, ohne Authentifizierung beliebigen Code auszuführen. Die Schwachstelle mit der Kennung CVE-2025-9242 betrifft den IKEv2-VPN-Dienst und wurde im CVSS 4.0-Bewertungssystem mit einem Schweregrad von 9,3 als kritisch eingestuft.

Ursache ist eine Out-of-Bounds-Write-Schwachstelle im iked-Prozess des WatchGuard-Fireware-Betriebssystems. Dadurch kann ein nicht authentifizierter Angreifer die Kontrolle über das betroffene System übernehmen.

Betroffen sind sowohl mobile Benutzer-VPNs mit IKEv2 als auch Zweigstellen-VPNs mit IKEv2, sofern sie mit einem dynamischen Gateway-Peer konfiguriert sind. Selbst wenn diese VPN-Konfigurationen gelöscht wurden, bleibt eine Firebox unter Umständen verwundbar, wenn weiterhin ein Zweigstellen-VPN zu einem statischen Gateway-Peer aktiv ist.

• GitHub

Workaround

Wenn Ihre Firebox nur mit VPN-Tunneln für Zweigstellen zu statischen Gateway-Peers konfiguriert ist und Sie das Gerät nicht sofort auf eine Version von Fireware OS mit der Fehlerbehebung aktualisieren können, können Sie die Empfehlungen von WatchGuard für sicheren Zugriff auf VPNs für Zweigstellen, die IPSec und IKEv2 verwenden, als vorübergehende Abhilfe befolgen.

WatchGuard schließt kritische VPN-Sicherheitslücke – Remote-Codeausführung mit Root-Rechten möglich

Durch gezielte Manipulation eines Identifikationspuffers mit mehr als 520 Byte können Angreifer kritische CPU-Register übernehmen und die Programmausführung auf eigenen Code umleiten. Forschende entwickelten eine vollständige Exploit-Kette auf Basis von Return-Oriented-Programming-Techniken, um bestehende Sicherheitsmechanismen zu umgehen und eine Remote-Codeausführung mit Root-Rechten zu ermöglichen.

Die Schwachstelle betrifft zahlreiche WatchGuard-Firebox-Modelle mit Fireware OS-Versionen 11.10.2 bis 11.12.4_Update1, 12.0 bis 12.11.3 sowie 2025.1.

Der Hersteller, der nach eigenen Angaben weltweit über 250.000 Unternehmen und mehr als 10 Millionen Endpunkte schützt, hat entsprechende Sicherheitsupdates veröffentlicht. Unternehmen sollten umgehend auf Fireware OS 2025.1.1, 12.11.4 für die 12.x-Serie, 12.5.13 für die Modelle T15 und T35 oder 12.3.1_Update3 für FIPS-zertifizierte Versionen aktualisieren.

Für Organisationen, die ein sofortiges Update nicht umsetzen können, empfiehlt WatchGuard vorübergehende Workarounds für VPN-Tunnel mit statischen Gateway-Peers. Dennoch gilt die schnelle Installation der Patches als wirksamste Schutzmaßnahme.

Die Entdeckung der Schwachstelle wird dem Sicherheitsforscher btaol zugeschrieben. WatchTowr Labs hat eine ausführliche technische Analyse sowie Erkennungstools veröffentlicht, um betroffene Systeme zu identifizieren und abzusichern.

Angesichts der Schwere und des Potenzials für unauthentifizierte Remote-Angriffe sollten WatchGuard-Nutzer die Updates mit höchster Priorität einspielen.

Folgen Sie uns auf X

Folgen Sie uns auf Bluesky