Watchguard Firebox: Gefährdung durch Standardpasswort für Admin

close notice

This article is also available in English. It was translated with technical assistance and editorially reviewed before publication.

Don’t show this again.

In den Firebox-Firewalls von Watchguard können sich Angreifer womöglich leicht Admin-Rechte verschaffen. Die Sicherheitslücke galt zunächst als kritisch. Inzwischen ist der Schweregrad im Schwachstelleneintrag jedoch umstritten.

Der Schwachstelleneintrag lautet nur recht knapp: "Die Standardkonfiguration von Watchguard Firebox-Geräten bis 2025-09-10 ermöglicht administrativen Zugang mittels SSH auf Port 4118 mit dem readwrite-Passwort für das Admin-Konto." (CVE-2025-59396 / EUVD-2025-38053, CVSS 9.8, Risiko "kritisch"). Das CERT-Bund vergab zunächst sogar die Höchstwertung CVSS 10 von 10 für die Lücke, hat den Eintrag nach Hinweis durch Watchguard nun jedoch zurückgezogen. Eine detailliertere Fehlerbeschreibung weist darauf hin, dass es nicht um ein zu erlangendes Passwort geht, sondern dass der Zugang "admin" standardmäßig mit dem Passwort "readwrite" versehen wird. Angreifer aus dem Netz könnten in der Standardkonfiguration daher mit Watchguard Firebox geschützte Netze leicht dadurch kompromittieren.

Watchguard dokumentiert die Standardeinstellungen – aufmerksame Admins sollten das Problem daher selbst gelöst haben. Die Firewalls erzwingen der Dokumentation zufolge jedoch keine Änderung der Zugangsdaten, wenn die Wizards zur Einrichtung durchlaufen werden, ermöglichen diese zumindest jedoch. Watchguard stellt sich dazu auf den Standpunkt: "Ein Szenario, in dem ein Administrator angewiesen wird, die Standard-Administrator-Anmeldedaten während der Ersteinrichtung zu ändern, und er sich dafür entscheidet, die Standardanmeldedaten wiederzuverwenden, stellt keine Sicherheitslücke dar." Als für den betroffenen Bereich zuständige CNA hat Watchguard einen Disput für CVE-2025-59396 mit den vorgelegten Beweisen eingereicht.

Gefahr durch Standardpasswörter

Das weckt Reminiszenzen an billigste chinesische Heim-Router mit der Username-Passwort-Kombination "admin:admin". Auch die sind zwar oftmals dokumentiert, die Nutzerschaft neigt jedoch dazu, sie nicht zu ändern. Im Falle einiger weiter verbreiteter Photovoltaik-Wechselrichter ist das Problem sogar weiterreichender – die Standardpasswörter lassen sich bei einigen gar nicht erst ändern.

Wer Watchguard-Firewalls betreibt, sollte die Zugangsdaten prüfen und gegebenenfalls rasch ändern. Die Dokumentation, die die Standardpasswörter beschreibt, bezieht sich nicht auf bestimmte Modelle. Es scheinen daher alle Modelle aus dem Hause davon betroffen zu sein. Die Fehlermeldung lässt offen, ob lediglich Geräte bis zum 10. September 2025 überprüft wurden, oder ob seitdem neuere Firmware-Versionen Änderungen mitbringen. Die Changelogs für jüngere Firmware etwa vom 17.09.2025 nennen lediglich eine Korrektur für eine andere, ältere Sicherheitslücke.

Watchguard-Firewalls fielen jüngst durch schwerwiegende Sicherheitslücken auf. Mitte September etwa warnte der Hersteller bereits vor einer kritischen Schwachstelle bei aktivierter VPN-Funktion. Rund einen Monat später, gegen Ende November, waren weltweit noch 70.000 Watchguard-Firewalls aus dem Internet erreichbar und anfällig für die Schwachstelle; alleine in Deutschland standen mehr als 7000 davon.

(dmk)