In den Watchguard Firebox Firewalls ist seit Mitte September 2025 die Schwachstelle CVE-2025-9242 bekannt und sollte längst gepatcht sein. Aber dieser Vorgang läuft schleppend, und das Bundesamt für Sicherheit in der Informationsverarbeitung (BSI) warnte kürzlich, dass in Deutschland noch 7.000 Watchguard Firebox-Instanzen angreifbar seien.
Watchguard hatte zum 17. September 2025 die Sicherheitsmeldung WGSA-2025-00015: WatchGuard Firebox iked Out of Bounds Write Vulnerability dazu veröffentlicht und am 21. Oktober 2025 ein Update mit Hinweisen zu Indicators of Compromise (ICOs) nachgetragen.
In obigem Mastodon-Post warnt das BSI zum 23. Oktober 2025, dass die Schwachstelle in den Watchguard-Firebox-Firewalls aktiv angegriffen werde. Das Sicherheitsupdate sollte, sofern nicht bereits erfolgt, unverzüglich installiert werden. Hintergrund der BSI-Warnung war, dass zum Stichtag noch 7.000 ungepatchte Installationen im Internet erreichbar waren. Golem hat hier ein paar Details dazu zusammen getragen.
MVP: 2013 – 2016
Wie "sicher" ist eigentlich die Windows -eigene Firewall? Wenn, liest man mal was über die Tauglichkeit des Defenders hinsichtlich Erkennungsrate von Schadsoftware. Aber die eingebaute Firewall scheint wenig Aufmerksamkeit zu bekommen?
Wo sind denn Firewalls mit grafischen Oberflächen, die auch für einfache Benutzer verständlich sind?
"Früher" war nicht alles, aber doch vieles besser. So erinnere mich an Zonealarm, wenn einem Progamm eine Berechtigung fehlte, meldete die Firewall in einem Fenster welches Programm gerade versucht welche Art von Zugang ins Internet zu erlangen … und dann konnte man entscheiden ob JA oder NEIN, ob einmalig oder dauerhaft…
Heute stellt man oft nur fest das eine Software nicht funktioniert und bekommt gar nichts, weiß also nicht was fehlt, warum es nicht geht … und muss anfangen sich mühevoll damit zu befassen, einzulesen, zu recherchieren, noch mehr zu lesen um dann noch stundenlang mit irgendwelchen unverständlich formulierten Einstellungen herumzuexperimentieren, bis man irgendwann, vielleicht, mit Glück und kurz vor dem Nervenzusammenbrucht, es irgendwie hinzubekommen. Und ein paar Tage später, hat man schon vergessen, was man da eigentlich verändert hatte, ist einfach nur froh, das es jetzt endlich geht. Könnte aber nicht einmal das gleiche Problem – sollte es bei einem anderen Programm nochmal auftauchen – aus dem Stehgreif erneut lösen, müsste erst wieder nachlesen und herum probieren … dank der modernen "Bedienkonzepte" von Software aller Art … einfach nur alles katastrophal schlecht, grottig, unzumutbar.
Man fragt sich, warum tut man sich das überhaupt noch an? Die Antwort ist, weil man muss … sch…ß voran schreitende "Digitalisierung", die ist ein bisschen wie Krebs, genauso ätzend und hässlich und vielfach auch genauso überflüssig.
Den Sinn dieser Warnungen werde ich nie verstehen. Bei denen, die noch nicht gepacht haben, kommt das eh nicht an. Sonst hätten Sie es irgendwo in den IT-News oder hier im Blog schon wahrgenommen.
Sehe ich ein bisschen differenzierter. Im Idealfall hast Du Recht – Admins haben die Warnungen lange vor dem Bericht in diversen Medien oder hier im Blog gesehen. Aber ist es dir noch niemals passiert, in den Niederungen des Tagesgeschäfts eine solche Meldung übersehen zu haben? Ich stelle regelmäßig fest, dass Blog-Leser mit "sorry, muss ich übersehen haben" antworten. Von daher denke ich: Doppelt gemoppelt tut nicht weh und setzt im Idealfall ein Erinnerungs-Bit "verdammt, habe ich verschwitzt". Aber mag man auch anders sehen – frisst hier im Blog aber kein Brot ;-)
Sinn wird wihl auch Daseinsberechtigung für das BSI sein, ähnlich wie Windows SiSyPHuS vom BSI, Riesen Projekt, nicht handhabbar, hoffnungslos veraltet, müsste eigentlich jeden Patchday aktualisiert werden…
Bei Exchange sieht es nicht besser aus. Vor zwei Tagen kam eine Warnung des BSI, dass nur 8% der Server in Deutschland mit per Internet erreichbaren OWA auf die SE Version migriert wurden. Der Großteil ist 2016 & 2019 mit ca. 85%. Es finden sich aber auch nicht Exchange 2010 & 2013 im Netz.
Wobei ja bei den Exchange 2019 zumindest in der Theorie auch welche dabei sein könnten, die den ESU gebucht haben und somit zumindest noch etwas Zeit mit der Migration zum SE (oder woanders hin) haben. Das kann man ja an der Build-Nummer von extern nicht sehen. Und der 2016er und der 2019er ohne ESU ist ja gerade erst rausgefallen, im Oktober gab es ja nochmal einen Patch. Somit auch noch nicht so problematisch, wenn der aktuell gehalten wurde, wobei man sich dann jetzt doch da ran machen sollte.
Bei 2010 & 2013 gebe ich dir aber Recht, die sind ja doch schon was länger EOL.
Wobei es reicht, wenn man eine Mail von dem System vorliegen hat. Das kann auch ein Autoreply wegen "Out of Office" sein. Dann findet sich im Mailheader die vollständige Buildnummer des Exchange Servers:
Received: from Server.Domain (192.168.XX.XX) by
Server.Domain (192.168.XX.XX) with Microsoft SMTP Server
(version=TLS1_2, cipher=TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384) id
15.2.2562.29; Fri, 24 Oct 2025 09:59:38 +0200
Somit weiß man ziemlich genau auf welchem Stand das System ist:
Exchange Server SE RTM Oct25SU October 14, 2025 15.2.2562.29
Und ja, theoretisch könnte es sein, dass 8% das Upgrade gemacht haben und 85% ESU kaufen, aber für realistisch würde ich das nicht halten. Ist wie mit den Updates der Firewall in diesem Beitrag.
Das Patching funktioniert in der Breite einfach nicht. Die Gründe mögen verschieden sein, aber an der Front läuft es gar nicht gut in Deutschland. Solche Warnung gibt es seit zehn Jahren und ich habe nicht den Eindruck das sich bisher maßgeblich etwas verschiebt. Und es wird den Leuten ja auch so vorgelebt:
https://netzpolitik.org/2025/digitalministerium-ratlos-keine-strategie-fuer-umstieg-auf-windows-11/
Da weiß man auch, warum man die NIS-2 für Kommunen und Länder als nicht relevant eingestuft wird. Weil man schlicht keine Ahnung und kein Konzept hat, wie man das ganze System wieder ins Lot bekommt.
Wir haben auch noch den EXCH 2016, aber selbstverständlich mit Oktober-Patch, daher noch sicher.
Und so oft gibts ja keine Patches für den Exchange.
Der ist schon deutlich sicherer als Windows.
Und die Migration auf den SE wurde schon in Angriff genommen.
Exchange 2013 und älter sollten aber schon länger nicht mehr betrieben werden.
Aber die Realität sieht anders aus.
Letztes Jahr waren noch 12% aller Exchangeserver in Deutschland die Versionen 2010 oder 2013!
Und 28% aller Exchange 2016 und 2019 waren damals auf einem mindestens 4 Monate alten Patchstand, also verwundbar.
Bei 14% aller Exchange 2016 und 2019 waren sogar Patches aus 2021 und 2022 noch nicht installiert!
Das BSI hat damals bemängelt, das viele Betreiber von Exchangeservern nachlässig sind und Sicherheitsupdates nicht zeitnah einspielen. Und das das schon seit Jahren der Fall ist.
Und Recht hat das BSI damit.
Wir haben das Update nachweislich am Erscheinungstag installiert und haben trotzdem am 23.10. über unseren Uplink-Provider die Warnung vom BSI erhalten. Soviel zum Thema "dass zum Stichtag noch 7.000 ungepatchte Installationen im Internet erreichbar waren ".
Wer selbst testen will:
https://github.com/watchtowrlabs/watchTowr-vs-WatchGuard-CVE-2025-9242
watchguard hat da schon im aug/sept mails bzgl dringenden Updates verschickt. jetzt kam nochmals eine an alle Partner dass man die Endkunden direkt informieren wird, sollte der Partner nicht patchen.
Leider hast bei WG ja keine Update Update Funktion, das wäre für die kleineren Appliances, die gerne auf Autopilot laufen nicht so schlecht…
Das BSI kann auch nicht erkennen, ob die Schwachstelle in der Installation ausnutzen ist, da gibt es ja durchaus Randbedingungen. Trotzdem finde ich die Warnungen sinnvoll, solange da niemand anfängt nach Nachweisen zu fragen oder diese Info für andere Zwecke gegen die Firma zu mißbrauchen. Das muss das BSI halt trennen, vor allem in der Zukunft mit den weiteren Aufgaben.