Jetzt patchen! In Deutschland sind noch 11.000 WatchGuard-Firewalls angreifbar

Derzeit attackieren Angreifer WatchGuard Firebox und kompromittieren Geräte. Sicherheitspatches sind verfügbar, aber offensichtlich bislang nicht flächendeckend installiert. Admins sollten umgehend handeln, damit Angreifer nicht in Netzwerke von Unternehmen einsteigen können.

Gefährliche Schwachstelle

Sicherheitsforscher von Shadowserver zeigen in einer Grafik vom vergangenen Sonntag, dass weltweit noch mehr als 117.000 Instanzen verwundbar sind. Die „kritische“ Sicherheitslücke (CVE-2025-14733) steckt im Fireware OS und betrifft Firebox-Firewalls. Diese sind verwundbar, wenn Mobile User VPN mit IKEv2 und Branch Office VPN mit IKEv2 mit einem dynamischen Gateway-Peer konfiguriert ist. Die Schwachstelle ist seit wenigen Tagen bekannt.

Attacken sollen aus der Ferne und ohne Authentifizierung möglich sein. Dann führen Angreifer Schadcode aus und übernehmen die Kontrolle. In welchem Umfang die Attacken ablaufen, ist derzeit nicht bekannt. Mit mehr als 57.000 bislang noch ungepatchter Instanzen befindet sich der Großteil in Europa. Einer Grafik von Shadowserver zufolge sind das in Deutschland mehr als 11.000 Firewalls.

Um Geräte abzusichern, müssen Admins Fireware OS 12.3.1_Update4 (B728352), 12.5.15, 12.11.6 oder 2025.1.4 installieren. Ist das nicht umgehend möglich, müssen Admins ihre Netzwerke temporär über einen Workaround schützen. Wie das geht, führt WatchGuard in einem Beitrag aus.

In einer Warnmeldung führt der Hersteller verschiedene Parameter wie IP-Adressen und bestimmte Logeinträge auf, an denen Admins bereits attackierte Firewalls erkennen können. In diesem Beitrag gibt es auch weiterführende Informationen zur Lücke und betroffenen Modellen.

(des)