Kritische Sicherheitslücke: Firebox ist anfällig, erste Angriffe laufen bereits
Firewall-Geräte vom Typ Firebox sind derzeit einer akuten Sicherheitsbedrohung ausgesetzt. Allein in Deutschland sind angeblich 13.000 Systeme betroffen - und einige Angreifer nutzen die Lücke bereits aus.
Das US-Unternehmen Watchguard warnt derzeit vor einer kritischen Sicherheitslücke, die die eigenen Produkte betrifft. Demnach können Angreifer in Firewall-Geräten vom Typ Firebox beliebigen Code ausführen und damit die per VPN angebundenen Systeme kompromittieren. Laut einer Analyse von Shadowserver sind über 100.000 entsprechender Geräte am Netz, allein 13.000 davon befinden sich in Deutschland. Laut dem BSI kommen diese insbesondere bei kleineren und mittelständischen Unternehmen zum Einsatz.
Erste Angriffe - und Updates
Die Sicherheitslücke wird bereits aktiv für Angriffe ausgenutzt. Laut Watchguard wurden diese bislang (mindestens) von den IP-Adressen 45.95.19.50, 51.15.17.89, 172.93.107.67 und 199.247.7.82 ausgeführt. Wenn Administratoren eine entsprechende Verbindung im Log finden, ist das System vermutlich kompromittiert. Ein weiterer Hinweis ist außerdem ein fehlgeschlagener Verbindungsaufbau. Denn die Sicherheitslücke nutzt den iked-Prozess, mit dem kryptografische Schlüssel ausgetauscht werden. Erfolgt ein Angriff, hängt sich der Prozess auf und es können keine weiteren Verbindungen mehr hergestellt werden. Bestehende VPN-Tunnel bleiben aber offen, ein Angriff kann theoretisch also zumindest zeitweise unentdeckt bleiben.
| Angreifbare Version | Gepatchte Version |
|---|---|
| 2025.1 | 2025.1.4 |
| 12.x | 12.11.6 |
| 12.5.x (Geräte T15/T35) | 12.5.15 |
| 12.3.1 (FIPS-zertifiziert) | 12.3.1_Update4 (B728352) |
| 11.x | Existiert nicht, kein Support mehr |
Laut Watchguard sind mehrere Versionen des auf den Firebox-Geräten genutzten Fireware-Betriebssystems anfällig. Sofern sich diese noch im aktiven Support befinden, gibt es bereits entsprechende Updates. Diese sollten schnellstmöglich installiert werden, um zukünftige Angriffe zu vermeiden. Das allein reicht aber nicht: IT-Administratoren müssen auch prüfen, ob nicht zuvor bereits ein Angriff erfolgt ist. Für diesen Fall gibt es von Watchguard und vom BSI weitere Anleitungen.
Ebenso spannend: Kampf gegen PC-Cheater: Valorant-Entwickler findet Sicherheitslücke in bekannten Mainboards
Im Zusammenspiel mit möglichen, weiteren Sicherheitslücken dahinterliegender Systeme lassen sich Beeinträchtigungen an angebundenen IT-Systemen nicht ausschließen. Nachdem die betroffenen Firewall-Geräte bei Endkunden kaum zum Einsatz kommen dürften, sind diese aber glücklicherweise nicht direkt betroffen. Indirekt könnte es aber trotzdem Auswirkungen geben. Denn ohne installierte Patches könnte die Lücke mit der Kennnummer CVE-2025-14733 beispielsweise genutzt werden, um Kundendaten zu entwenden.
Nutzen Sie ein VPN? Nutzen Sie die Kommentarfunktion und teilen Sie uns Ihre Meinung mit. Zum Kommentieren müssten Sie auf PCGH.de oder im Extreme-Forum eingeloggt sein. Sollten Sie noch keinen Account haben, könnten Sie über eine Registrierung nachdenken, die viele Vorteile mit sich bringt. Beachten Sie beim Kommentieren aber bitte die gültigen Forenregeln.
Quellen: Watchguard, BSI via Golem
Firewall in einer Hardwarekiste ... -> FireBox