Firewall-Anbieter WatchGuard schlägt Alarm, da die kritische Firebox-Sicherheitslücke CVE-2025-14733 (CVSS Score 9.3) im WatchGuard Fireware OS iked-Prozess aktiv ausgenutzt wird. Dazu muss man wissen, dass die Sicherheitslücke seit dem 18. Dezember 2025 bekannt ist, aber Updates bereitstehen.
Laut Sicherheitshinweis gibt es eine Out-of-Bounds-Write-Sicherheitslücke im WatchGuard Fireware OS iked-Prozess. Diese kann es einem nicht authentifizierten Angreifer ermöglichen, beliebigen Code auszuführen. Diese Sicherheitslücke betrifft sowohl das mobile Benutzer-VPN mit IKEv2 als auch das Zweigstellen-VPN mit IKEv2, wenn es mit einem dynamischen Gateway-Peer konfiguriert ist.
Zum 19. Dezember 2025 hat WatchGuard diesen Sicherheitshinweis vom 18.12 aktualisiert. Dort wird angegeben, dass beobachtet wurde, dass Angreifer aktiv versuchen, diese Schwachstelle in der Praxis auszunutzen. Es wird zudem aufgezeigt, wie ein erfolgreicher Angriff erkannt werden kann und welche Firmware-Versionen die Schwachstelle schließen. (via)
Anmerkung: Artikel korrigiert, da ursprünglich eine falsche CVE referenziert wurde.
MVP: 2013 – 2016
Moin Günter,
Ich glaube Du meinst eher https://www.watchguard.com/de/wgrd-psirt/advisory/wgsa-2025-00027 (CVE-2025-14733), das ist die aktuell ausgenutzte Schwachstelle im Iked der WatchGuards. Das Thema ist eine absolute Vollkatastrophe und lässt an der Professionalität WatchGuards stark zweifeln. Der Iked war vorher bereits am 17.09. aufgefallen (https://www.watchguard.com/de/wgrd-psirt/advisory/wgsa-2025-00015), über das Thema hattest Du berichtet. Unter https://labs.watchtowr.com/yikes-watchguard-fireware-os-ikev2-out-of-bounds-write-cve-2025-9242/ Wurde der Fix damals analysiert (ich glaube das hattest Du auch berichtet) und das Ergebnis deutete auf amateurhaftes Verhalten seitens WatchGuards hin. Von daher kein Wunder, dass das Thema bereits Anfang Dezember (https://www.watchguard.com/de/wgrd-psirt/advisory/wgsa-2025-00018) wieder hochgekocht ist. Die aktuelle Lücke mit dem beachtlichen 9.3er Score vom 17.12. ist in meinen Augen nur eine Konsequenz aus dem Friggelkram, der dort abgeliefert wird. Nur so FYI und meine 2Cent.
Viele Grüße aus dem Norden
Sven
Hallo,
besteht auch Gefahr wenn BOVPN mit
IKEv2 mit zwischen zwei Standorten (beide statische öff. IP) im Einsatz ist und Mobile VPN IKEv2 niemals aktiviert gewesen ist?
Kenne mich mit BOVPN nicht so gut aus, im KB steht was von dynamic peer.
Danke
iked unterscheidet in seiner Implementation am WAN Interface nicht zwischen Site2Site (oder BOVPN – wie es bei Watchguard heißt) und RemoteAccess (also Dynamic Peer), die Anfragen müssen ja ankommen um verarbeitet zu werden, somit ist die Kiste definitiv angreifbar.