Hohe Wahrscheinlichkeit eines Angriffs Cyberangriffe auf Watchguard Firebox-Appliances laufen

Anbieter zum Thema

PresseBox - unn | UNITED NEWS NETWORK GmbH

FAST LTA GmbH

FTAPI Software GmbH

Eine kritische Sicherheitslücke in Watchguard Firebox wird aktiv ausgenutzt. Über fehlerhafte Speicherprüfungen können Angreifer Schadcode ein­schleu­sen und VPN-Geräte übernehmen. CISA warnt vor hoher Angriffs­gefahr und rät betroffenen Unternehmen dringend zu Updates.

Eine Sicherheitslücke in Watchguards Firebox, die bereits seit Mitte September bekannt ist, hat die CISA nun zu in ihren Katalag der bekannten und ausgenutzten Schwachstellen auf­ge­nom­men. Dabei handelt es sich um CVE-2025-9242, eine Out-of-Bounds-Write-Sicherheitslücke, die es erfolgreichen Cyberangreifern erlaubt, Schadcode einzuschleusen. Betroffen sind Fire­box­Appliances mit Fireware OS 11.10.2 bis ein­schließ­lich 11.12.4_Update1, 12.0 bis einschließlich 12.11.3 sowie 2025.1.

Alte Linux-Schwachstelle wird erneut aktiv ausgenutzt

Ransomware-Gruppen nutzen Linux-Schwachstelle: CISA schlägt Alarm

Kritische Sicherheitslücke aktiv ausgenutzt

Ursache der Schwachstelle ist eine fehlerhafte Bounds‑Prüfung im IKEv2‑Dienst, die durch speziell gestaltete IKEv2‑Pakete einen Out‑of‑Bounds‑Write auslöst, also das Schreiben von Daten außerhalb des dafür vorgesehenen Speicherbereichs. Betroffen sind Systeme, wenn das Gerät für Mobile User VPN oder für Branch Office VPN mit IKEv2 und dynamischem Gate­way­Peer konfiguriert ist. Dies kann zu Absturz oder Remote Code Execution führen. Der dafür verantwortliche Prozess ist „iked“, der zentrale Dienst der Firebox für die Verarbeitung und Aushandlung von IPSec- und IKE-VPN-Verbindungen. CVE­2025-9242 wurde mit einem CVSS-Score von 9.3 als kritisch eingestuft.

Den Sicherheitshinweis veröffentlichte Watchguard erstmals am 17. September 2025, es folgten Updates im Oktober und November. Am 12. November hat die Cybersecurity & In­fra­structure Security Agency die Schwachstelle in den Known Exploited Vulnerabilities Catalog aufgenommen. Der Hersteller bestätigt in seinem Advisory ebenfalls, dass CVE-2025-9242 für Cyberangriffe genutzt wird. Die European Union Vulnerability Database ordnet der Schwach­stelle sogar einen EPSS-Score von 76,99 zu, was bedeutet, dass die Wahr­schein­lich­keit für Unternehmen, die von der Sicherheitslücke betroffen sind, bei 76,99 Prozent liegt, darüber angegriffen zu werden.

Cisco ASA und FTD akut gefährdet

Angreifer provozieren Neustarts ungepatchter Cisco-Firewalls

Patches und Indicators of Attack

Neben einer Übersicht der gepatchten Firebox-Versionen liefert Watchguard auch Indikatoren, mit denen Unternehmen erkennen können, potenzielle Angriffe über CVE-2025-9242 zu er­ken­nen.

Indicators of Attack:

• Ungewöhnlich große ike_AUTH-Anfrage-IDi-Nutzlast: Wenn die iked-Diagnose­pro­to­kol­lier­ung auf den Protokollierungsgrad „Info“ eingestellt ist, generiert der iked-Prozess eine Protokollmeldung, sobald die Firebox eine ike_AUTH-Anfrage empfängt. Eine IKE_AUTH-Anfrageprotokollmeldung mit einer ungewöhnlich großen IDi-Nutzlast (größer als 100 Byte) ist ein starkes Indiz für einen Angriff.

• Der ike-Prozess hängt: Bei einem erfolgreichen Exploit hängt sich der iked-Prozess, der zuständig für die Verarbeitung von IPSec- und IKE-VPN-Datenverkehr ist, auf und unter­bricht VPN-Verbindungen. Dies ist ein starkes Indiz für einen Angriff.

• iked-Prozessabsturz: Nach einem fehlgeschlagenen oder erfolgreichen Exploit stürzt der iked-Prozess ab und generiert einen Fehlerbericht auf der Firebox. Watchguard weist darauf hin, dass es auch andere Ursachen für einen iked-Prozessabsturz geben kann. Dies ist dem Hersteller zufolge also nur ein schwaches Indiz für einen aktiven Angriff.

Zero-Day-Sicherheitslücke in FortiWeb

Fortinet patcht Zero Day erst nach 6 Wochen

(ID:50634331)