[English]Der Anbieter WatchGuard ist in der Absicherung von Netzwerken aktiv und bietet in diesem Bereich eine Firebox-Appliance an. In einer aktuellen Sicherheitswarnung vom 17. September 2025 weist der Anbieter auf eine kritische Schwachstelle CVE-2025-9242 in seiner Firebox-Appliance hin, die einem Angreifer eine Codeausführung ermöglicht.
Blog-Leser Benjamin T. hatte mich gestern am späten Nachmittag in einer E-Mail mit dem Betreff "Watchguard Firewall Sicherheitslücke" auf das Problem hingewiesen (danke dafür) und schrieb:
Aktuell gibt es eine Sicherheitslücke bei Watchguard Firewalls: Eine Out-of-bounds-Schreibschwachstelle im WatchGuard Fireware OS iked-Prozess kann einem entfernten, nicht authentifizierten Angreifer die Ausführung von beliebigem Code ermöglichen.
WatchGuard arbeitet mit über 17.000 Resellern zusammen, um die Netzwerke von mehr als 250.000 kleinen und mittelständischen Unternehmen weltweit zu schützen. Zur Schwachstelle CVE-2025-9242 hat WatchGuard am 17. September 2025 den Sicherheitshinweis WGSA-2025-00015: WatchGuard Firebox iked Out of Bounds Write Vulnerability veröffentlicht.
Die Schwachstelle wurde mit einem CVSS Score von 9.3 als kritisch eingestuft. Eine Out-of-Bounds-Write-Sicherheitslücke im WatchGuard Fireware OS iked-Prozess kann es einem nicht authentifizierten Angreifer ermöglichen, beliebigen Code auszuführen. Diese Sicherheitslücke betrifft sowohl das mobile Benutzer-VPN mit IKEv2 als auch das Branch Office-VPN mit IKEv2, wenn es mit einem dynamischen Gateway-Peer konfiguriert ist.
WatchGuard warnt: Wenn die Firebox zuvor mit dem mobilen Benutzer-VPN mit IKEv2 oder einem Branch Office-VPN mit IKEv2 zu einem dynamischen Gateway-Peer konfiguriert war und beide Konfigurationen inzwischen gelöscht wurden, ist diese Firebox möglicherweise weiterhin anfällig, wenn noch ein Branch Office-VPN-Verbindungen zu einem statischen Gateway-Peer konfiguriert ist.
Diese Sicherheitslücke betrifft Fireware OS 11.10.2 bis einschließlich 11.12.4_Update1, 12.0 bis einschließlich 12.11.3 und 2025.1. WatchGuard hat Sicherheits-Updates für die betroffenen Fireware OS-Versionen bereitgestellt:
| Vulnerable Version | Resolved Version |
|---|---|
| 2025.1 | 2025.1.1 |
| 12.x | 12.11.4 |
| 12.5.x (T15 & T35 models) | 12.5.13 |
| 12.3.1 (FIPS-certified release) | 12.3.1_Update3 (B722811) |
| 11.x | End of Life |
Die betroffenen Produkte sind im Advisory aufgeführt.
MVP: 2013 – 2016
Da steckt bestimmt DeepBlue hinter der Schachstelle ;-)
Kann jedem passieren. Aber gerade Watchguard und auch SecurePoint sind irgendwie solche Lösungen, die wir viel in Firmen antreffen, die von diesen modernen Managed-Service-IT-Buden verbaut werden. Da wirds gute Margen (oder Provisionen) geben, aber wenig Kompetenz im Umgang mit den Geräten. Machen wir uns nichts vor: ganz am Ende steht in den Geräten trotzdem oft iptables oder nftables…
Da stimme ich zu.
Kaum ein Admin aus der IT Branche versteht seine Produkte so wenig wie die Firewall Fraktion.
Und bei kaum einen wäre das disaster grösser.
WG ist aber eher errorproofed – kann wenig, da kann man auch weniger kaputt machen bzw. große Löcher einreißen.
WG ist viel billiger und läuft auch nach Subscription mit den wichtigsten Diensten weiter, deswegen werden die gerne verkauft.
Bei anderen Produkten habe ich auch meine Zweifel, ob die Admins wissen, was sie da so konfigurieren. Forti et. al. können halt viel mehr.
Einfachste Firewallregeln wie Portfreischaltungen gehen mit >> 50% in die Hose.
Hab schon mit vielen, kleinen Dienstleistern zusammenarbeiten müssen.
Könntest Du etwas aus dem Nähkästchen plaudern? Das würde mich wirklich interessieren. Ich kenne nur WatchGuard und SecurePoint FW's. Und ein bisschen pfSense.
Was genau können andere Hersteller mehr als z. B. Watchguard es kann?
Ich glaube die können im Grunde alle gleich viel, nur nennt jeder seine einzelnen Services einfach anders.
Ich habe schon mit Sophos, Fortigate, pfSense, Watchguard, Securepoint und vielen anderen Herstellern zu tun gehabt, und im Endeffekt kochen alle Ihre Suppe doch nur mit Wasser.
Man kann zu Watchguard sagen was man will, jedoch gibt es bei Watchguard z. B so gut wie nie Probleme mit Firmware Updates, demnach stimme ich dir bei dem Punkt errorproofed definitiv zu.
Bei Sophos habe ich schon etliche Firewallcluster gebricked, weil die Updateprozesse entweder nicht korrekt durchgelaufen sind, oder einfach Fehler in der Software vorlag.
Aber auch der Punkt dass viele Administratoren einfach nicht wissen was Sie da tun ist teilweise korrekt. Die Eierlegende-Wollmilchsau an Administrator macht halt jede 3 Monate eine Firewallregel und muss im Schlimmsten Fall 3x nachbessern bevor das nächste Port-Forwarding korrekt greift.
Also wir setzen seit über 25 Jahren Watchguard Firewalls bei unseren Kunden ein und hatten in den ganzen Jahren nur einen einzigen Ausfall eines Geräts. Die Dinger laufen sau stabil!
Probleme mit Firmwareupdates kennen wir nicht. Und das ist das erste kritische Sicherheitsproblem bei Watchguard seit einem Jahr! Vergleicht das mal mit Fortinet, Sonicwall und Sophos.
Ich stimme Axel voll und ganz zu – wir machen ebenfalls schon ewig (und ausschließlich) WatchGuard!
>Also wir setzen seit über 25 Jahren Watchguard Firewalls bei unseren Kunden ein und >hatten in den ganzen Jahren nur einen einzigen Ausfall eines Geräts. Die Dinger laufen >sau stabil!
>Probleme mit Firmwareupdates kennen wir nicht.
das sehe ich genauso!