Kritische Firebox-Lücke: WatchGuard warnt vor aktiven Angriffen auf IKEv2

WatchGuard hat mit WGSA-2025-00027 eine kritische Schwachstelle in Firebox-Appliances bestätigt. Die als CVE-2025-14733 geführte Out-of-Bounds-Write-Lücke im iked-Prozess von Fireware OS ermöglicht es Angreifern, ohne Authentifizierung aus der Ferne beliebigen Code auszuführen. Der CVSS-Score liegt bei 9,3, WatchGuard beobachtet bereits aktive Exploit-Versuche im Internet.

Betroffen sind Firebox-Systeme mit IKEv2, sowohl bei Mobile-User-VPNs als auch bei Branch-Office-VPNs mit dynamischen Gateway-Peers. Auch Geräte können verwundbar sein, bei denen frühere IKEv2-Konfigurationen zwar gelöscht wurden, aber weiterhin VPNs zu statischen Gegenstellen bestehen. Laut WatchGuard nutzen Angreifer die Lücke gezielt aus, um Konfigurationsdateien und lokale Benutzerinformationen zu exfiltrieren.

Als Hinweise auf Angriffe nennt WatchGuard unter anderem ausgehende Verbindungen zu bekannten IP-Adressen, ungewöhnlich große IKE_AUTH-CERT-Payloads sowie Hänger oder Abstürze des IKED-Prozesses. Die Schwachstelle betrifft Fireware OS 11.10.2 bis 11.12.4_Update1, 12.0 bis 12.11.5 sowie 2025.1 bis 2025.1.3.

Updates stehen inzwischen bereit, unter anderem mit Fireware OS 12.11.6 und 2025.1.4. WatchGuard rät dringend zur sofortigen Aktualisierung. Wurde ein Gerät kompromittiert, müssen zusätzlich alle lokal gespeicherten Geheimnisse und Zugangsdaten rotiert werden. Ein genereller Workaround existiert nicht, lediglich eingeschränkte Übergangslösungen für spezielle VPN-Konfigurationen.

Related Posts

Let’s Encrypt kürzt Zertifikatslaufzeit auf 45 Tage

Let’s Encrypt stellt seine TLS-Zertifikate künftig deutlich kürzer aus: Statt 90 Tagen gelten sie perspektivisch nur noch 45 Tage. Hintergrund ist eine Entscheidung des CA/Browser-Forums, die maximale Laufzeiten in der Web-PKI verbindlich reduziert.

Read More

Kritische XXE-Schwachstelle in GeoServer entdeckt

In GeoServer wurde eine schwerwiegende Sicherheitslücke (CVE-2025-58360) bekannt, die einen unauthentifizierten XML External Entity (XXE) Angriff über das WMS-GetMap-Feature ermöglicht. Betroffen sind die Versionen ab 2.26.0 bis 2.26.1 sowie alle Versionen unter 2.25.6. Über manipulierte XML-Requests können Angreifer externe Entities einbinden und so beliebige Dateien vom Server auslesen, SSRF-Angriffe durchführen oder durch Ressourcenverbrauch einen DoS auslösen.

Read More

MongoBleed: Kritische MongoDB-Schwachstelle wird aktiv ausgenutzt

Mit CVE-2025-14847 ist Ende Dezember 2025 eine schwerwiegende Sicherheitslücke in MongoDB bekannt geworden, die unter dem Namen MongoBleed geführt wird. Die Schwachstelle erlaubt es nicht authentifizierten Angreifern, über manipulierte zlib-komprimierte Anfragen uninitialisierten Heap-Speicher aus MongoDB-Instanzen auszulesen. Laut Akamai kann dieser Speicher sensible Inhalte wie Klartext-Passwörter, API-Keys oder andere Zugangsdaten enthalten.

Read More