Was ist passiert?
Security Advisory – WGSA-2025-00015
In der IKEv2-Komponente (iked) der WatchGuard Firebox wurde eine kritische Sicherheitslücke entdeckt. Angreifer können über speziell präparierte IKEv2-Anfragen Speicherfehler auslösen, was im schlimmsten Fall zu Codeausführung auf der Firewall führen kann.
WatchGuard hat bereits Sicherheitsupdates veröffentlicht – betroffene Systeme sollten umgehend auf die fehlerbereinigte Fireware-Version aktualisiert werden.
Betroffene Systeme
- Fireware OS 11.10.2 bis einschließlich 11.12.4_Update1
- Fireware OS 12.0 bis einschließlich 12.11.3 und 2025.1
- Firebox-Systeme mit aktivem IKEv1 oder IKEv2 VPN (Site-to-Site, Mobile VPN, dynamisches VPN)
- Auch Systeme, die früher dynamische VPNs genutzt haben, können gefährdet sein, da der IKE-Dienst oft weiterläuft, selbst wenn die Konfiguration inzwischen entfernt wurde.
Was muss jetzt getan werden?
- Umgehend Installation auf die aktuelle WatchGuard Version
- Workaround
- Falls Ihre Firebox nur Site-to-Site VPNs mit festen Gateway-Peers nutzt und ein sofortiges Update nicht möglich ist, können Sie die von WatchGuard empfohlenen Regeln für Secure Access zu IPSec/IKEv2 Branch Office VPNs umsetzen
- Dadurch wird der Zugriff auf die VPN-Ports ausschließlich auf definierte Gegenstellen beschränkt und das Risiko bis zum Patch reduziert
Sie sind sich unsicher, ob Ihre Umgebung betroffen ist oder benötigen Unterstützung beim Update?
Wir unterstützen Sie bei der Prüfung und Umsetzung der notwendigen Maßnahmen. Nehmen Sie gerne Kontakt zu uns auf.
Quelle:
WGSA-2025-00015 WatchGuard Firebox iked Out of Bounds Write Vulnerability