WatchGuard Firebox: Kritische Sicherheitslücken ermöglichen Code-Injection und Umgehung von Schutzmaßnahmen

WatchGuard warnt vor mehreren gravierenden Sicherheitslücken in seinen Firebox-Produkten. Die Anfang Dezember 2025 veröffentlichten Advisories beschreiben Schwachstellen, die von der Manipulation von Boot-Prozessen bis zu unauthentifizierten Angriffen auf Konfigurationsdaten reichen. Für IT-Sicherheitsverantwortliche besteht dringender Handlungsbedarf.

Schwachstellen gefährden zentrale Sicherheitskomponenten

WatchGuard informierte am 4. Dezember 2025 über insgesamt zehn Sicherheitsprobleme in der Firebox-Produktreihe. Die Verwundbarkeiten ermöglichen verschiedene Angriffsszenarien – von der Kompromittierung der Systemintegrität bis zum Auslesen vertraulicher Konfigurationsinformationen. Die CVSS-Bewertungen der dokumentierten Lücken bewegen sich im mittleren bis hohen Risikobereich.

Die betroffenen Firewall-Appliances kommen in zahlreichen Unternehmensumgebungen als Perimeter-Schutz zum Einsatz. Entsprechend hoch ist das Gefährdungspotenzial für Organisationen, die noch keine Sicherheitsupdates eingespielt haben.

Boot-Integritätsprüfung lässt sich aushebeln

Eine erste bedeutende Verwundbarkeit (CVE-2025-13940) erlaubt Angreifern die Manipulation der Integritätsverifikation während des Bootvorgangs. Die Schwachstelle basiert auf einer Abweichung vom erwarteten Systemverhalten (CWE-440) im Fireware-Betriebssystem.

Advisory-Details:

• Kennung: WGSA-2025-00026
• CVSS-Bewertung: 6,7 (Mittel)
• CVSS-Vektor: CVSS:4.0/AV:L/AC:L/AT:N/PR:H/UI:N/VC:N/VI:H/VA:N/SC:N/SI:N/SA:N

Ein Angreifer mit privilegiertem lokalem Zugriff kann die beim Systemstart durchgeführte Integritätskontrolle umgehen. Dadurch bleibt das Gerät selbst bei erkannten Integritätsverletzungen betriebsbereit, anstatt sich wie vorgesehen abzuschalten. Die manuelle Integritätsprüfung über die Web-Oberfläche funktioniert hingegen korrekt und meldet Fehler ordnungsgemäß.

Betroffene Versionen:

• Fireware OS 12.8.1 bis 12.11.4
• Fireware OS 2025.1 bis 2025.1.2

XPath-Injection ermöglicht Datenabfluss ohne Authentifizierung

Eine zweite kritische Lücke (CVE-2025-1545) mit höherer Einstufung betrifft die Web-CGI-Komponente der Firebox-Systeme. Diese XPath-Injection-Schwachstelle kann von nicht authentifizierten Angreifern ausgenutzt werden.

Advisory-Details:

• Kennung: WGSA-2025-00025
• CVSS-Bewertung: 8,2 (Hoch)
• CVSS-Vektor: CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N
• Aktualisierung: 5. Dezember 2025

Über exponierte Authentifizierungs- oder Management-Webschnittstellen können Angreifer sensible Konfigurationsdaten extrahieren. Voraussetzung ist allerdings, dass mindestens ein Authentifizierungs-Hotspot auf dem betroffenen System konfiguriert wurde – nur dann lässt sich die Verwundbarkeit ausnutzen.

Betroffene Versionen:

• Fireware OS 11.11 bis 11.12.4+541730
• Fireware OS 12.0 bis 12.11.4
• Fireware OS 12.5 bis 12.5.13
• Fireware OS 2025.1 bis 2025.1.2

Sofortiges Patch-Management erforderlich

Die Entdeckung dieser Sicherheitslücken unterstreicht die Notwendigkeit kontinuierlicher Wartung von Netzwerksicherheitskomponenten. Unternehmen sollten die bereitgestellten Updates priorisiert einspielen und dabei ihre etablierten Change-Management-Prozesse einhalten.

Angesichts der exponentiellen Bedeutung von Firebox-Geräten für die Netzwerksicherheit empfiehlt sich eine zeitnahe Implementierung der Patches, um das Zeitfenster für potenzielle Angriffe zu minimieren. IT-Verantwortliche sollten die Aktualisierung gemäß ihrer Sicherheitsrichtlinien als dringlich klassifizieren.

Weiterlesen

---

Bild Quelle: Adobe