Jetzt patchen! Angreifer schieben Schadcode auf WatchGuard Firebox
Derzeit haben es Angreifer auf WatchGuard-Firewalls der Firebox-Serie abgesehen. Sicherheitspatches stehen zum Download bereit.
(Bild: solarseven/Shutterstock.com)
Aufgrund von zurzeit laufenden Attacken sollten Admins ihre Firebox-Firewalls von WatchGuard auf den aktuellen Stand bringen. Angreifer fĂĽhren Schadcode aus.
HintergrĂĽnde
In einer Warnmeldung führen die Entwickler aus, dass von der „kritischen“ Sicherheitslücke (CVE-2025-14733) in Fireware OS folgende Konfigurationen betroffen sind: Mobile User VPN mit IKEv2 und Branch Office VPN mit IKEv2, wenn es mit einem dynamischen Gateway-Peer konfiguriert ist.
Ist das gegeben, sind Attacken aus der Ferne und ohne Authentifizierung möglich. Setzen Angreifer erfolgreich an der Lücke an, kommt es zu Speicherfehlern (Out-of-bounds) und es gelangt Schadcode auf Systeme.
Videos by heise
In welchem Umfang und wie genau solche Attacken ablaufen, ist derzeit nicht bekannt. Unklar ist auch, was Angreifer konkret anstellen. Aufgrund der kritischen Einstufung ist aber davon auszugehen, dass Angreifer Geräte nach der Ausführung von Schadcode vollständig kompromittieren.
Damit Admins bereits attackierte Instanzen erkennen können, listet WatchGuard diverse Parameter (Indicator of Compromise, IoC) wie IP-Adressen in der Warnmeldung auf. Es gibt aber auch bestimmte Hinweise in Logdateien. Außerdem kommt es nach erfolgreichen Angriffen zu Fehlern bei VPN-Verbindungen.
GegenmaĂźnahmen
Um Firewalls und Netzwerke zu schützen, müssen Admins zügig Fireware OS 12.3.1_Update4 (B728352), 12.5.15, 12.11.6 oder 2025.1.4 installieren. Für den Versionsstrang 11.x ist der Support ausgelaufen und es gibt keine Sicherheitspatches mehr. An dieser Stelle ist ein Upgrade nötig.
Können Admins die abgesicherten Ausgaben nicht direkt installieren, müssen sie Geräte temporär über einen Workaround absichern.
(des)
