Zero-Day-Schwachstelle in WatchGuard Firebox ermöglicht Fernzugriff

Angreifer nutzen Sicherheitslücke bereits zur Kompromittierung von Firewall-Systemen

Kritische Sicherheitslücke bedroht Tausende Netzwerk-Infrastrukturen weltweit: Der Security-Hersteller WatchGuard warnt vor aktiven Angriffen auf seine Firebox-Firewalls. Die als CVE-2025-14733 klassifizierte Schwachstelle wird bereits gezielt ausgenutzt, um administrative Kontrolle über exponierte Geräte zu erlangen.

Technischer Hintergrund der Schwachstelle

Die identifizierte Sicherheitslücke betrifft den iked-Dienst des WatchGuard Fireware-Betriebssystems und wurde mit einem CVSS-Score von 9,3 bewertet. Der Fehler basiert auf einer fehlerhaften Speicherverwaltung, die es Angreifern ermöglicht, Daten außerhalb reservierter Speicherbereiche zu schreiben. Diese Art von Schwachstelle kann zur Ausführung beliebiger Programmcodes missbraucht werden.

Die Exploitation erfordert keinerlei Authentifizierung. Angreifer können die Lücke über das Netzwerk ausnutzen, sofern bestimmte VPN-Konfigurationen aktiv sind. Betroffen sind Installationen mit mobilem IKEv2-VPN sowie Standortverbindungen zu dynamischen Gateway-Peers.

Auch nach Entfernung entsprechender Konfigurationen bleibt die Anfälligkeit unter Umständen bestehen, wenn weiterhin Branch-VPNs zu statischen Gateways eingerichtet sind. Administratoren müssen daher besondere Aufmerksamkeit auf ihre VPN-Topologien richten.

Kompromittierungsindikatoren identifiziert

Das WatchGuard Threat Lab hat konkrete Angriffsindikatoren veröffentlicht. Vier IP-Adressen stehen in direkter Verbindung mit Exploit-Versuchen und sollten in Monitoring-Systemen blockiert werden.

In den Systemprotokollen finden sich charakteristische Muster: Erhält der iked-Prozess IKE2-Auth-Pakete mit mehr als acht Zertifikaten, deutet dies auf Manipulationsversuche hin. Administratoren sollten zudem auf ungewöhnlich große CERT-Payloads in IKE_AUTH-Anfragen achten – Größen über 2000 Bytes gelten als starker Kompromittierungshinweis.

Erfolgreiche Exploits führen typischerweise zum Einfrieren des IKE-Dienstes, wodurch VPN-Neuverbindungen blockiert werden. Prozessabstürze mit entsprechenden Fehlerberichten können ebenfalls auf Angriffsversuche hindeuten, sind allerdings weniger eindeutig.

Betroffene Versionen und Gegenmaßnahmen

Die Schwachstelle existiert in allen Fireware-OS-Versionen von 11.10.2 bis 11.12.4 Update1, in der gesamten 12.x-Reihe bis 12.11.5 sowie in den 2025er-Releases bis Version 2025.1.3.

WatchGuard hat korrigierte Versionen für alle betroffenen Produktlinien bereitgestellt. Für aktuelle Systeme steht Version 2025.1.4 zur Verfügung, die 12.x-Serie erhält das Update 12.11.6. Spezielle Hardware-Modelle und FIPS-zertifizierte Installationen werden mit dedizierten Patches versorgt.

Nach der Installation gepatchter Versionen empfiehlt der Hersteller dringend die Rotation aller auf dem Gerät gespeicherten Geheimnisse und Zugangsdaten. Dies betrifft insbesondere Systeme, auf denen Kompromittierungshinweise gefunden wurden.

Übergangslösung für verzögerte Updates

Organisationen, die ein sofortiges Update nicht umsetzen können, erhalten von WatchGuard konkrete Handlungsempfehlungen. Diese temporären Maßnahmen greifen allerdings nur bei Konfigurationen mit ausschließlich statischen Gateway-Peers in Branch-VPNs.

Die Empfehlungen umfassen Härtungsmaßnahmen für IPSec- und IKEv2-Verbindungen. Details hierzu stellt der Hersteller in seiner Wissensdatenbank bereit. Diese Workarounds ersetzen jedoch nicht die Installation der Sicherheitsupdates und sollten lediglich als Übergangslösung dienen.

Sicherheitsexperten raten zu höchster Priorität bei der Patch-Installation, da die aktive Ausnutzung bereits dokumentiert ist und die technische Hürde für Angreifer niedrig liegt.

Mehr erfahren

Folgen Sie uns auf  X / Bluesky / Mastodon