Wichtiger Sicherheitshinweis: Kritische Firmware-Updates erforderlich
Alle Tags (CVE-2025-9242 Cyber Security Fireware 12.11.4 Fireware 12.3.1 Update 3 Fireware 12.5.13 Fireware 2025.1.1 OS 2025.1.1 Schwachstelle Security Alert Sicherheitshinweis Sicherheitslücke)
Ab heute, 17. September 2025, steht für WatchGuard Fireboxen eine neue Fireware-Version bereit, welche eine kritische Schwachstelle behebt. Auch wenn die Lücke bislang nicht ausgenutzt wird, besteht sofortiger Handlungsbedarf: Aktualisieren Sie deshalb Ihre Appliances umgehend auf eine der folgenden Versionen:
- Fireware 2025.1.1
- Fireware v12.11.4
- Fireware v12.5.13
- Fireware v12.3.1 Update 3
Die Sicherheitslücke wurde in internen Prüfungen von WatchGuard entdeckt; bisher gibt es jedoch keinerlei Anzeichen einer aktiven Ausnutzung. Nach Abschluss der Validierung hat WatchGuard CVE-2025-9242 eingereicht. Weitere Informationen sind in der CVE-Datenbank sowie in der WatchGuard Security Advisory WGSA-2025-00015 verfügbar, die auf der >> Security Adivsories Seite von WatchGuard veröffentlicht wurde.
Kunden mit bestehendem Managed Security Services Vertrag müssen sich um nichts kümmern – unser Team kontaktiert Sie direkt und übernimmt die notwendigen Schritte für Sie. Genau in solchen Fällen zeigen sich die Vorteile unserer Managed Security Services: proaktive Betreuung, schnelle Reaktion und maximale Sicherheit ohne zusätzlichen Aufwand (>> Jetzt auf Managed Security mit BOC umsteigen!).
Für alle Kunden ohne Service-Vertrag gilt: Wie gewohnt stellen wir Ihnen qualifiziertes Material als „Hilfe zur Selbsthilfe“ bereit. Weiter unten in diesem Blog-Beitrag finden Sie einen HOWTO-Artikel, der Schritt für Schritt erklärt, wie Sie das Firmware-Upgrade selbst durchführen können.
Überblick
Worum geht es?
- Sicherheitslücke in allen WatchGuard Fireboxen
- Eine Out-of-Bounds-Write-Schwachstelle im iked-Prozess des WatchGuard Fireware OS kann einem nicht authentifizierten Remote-Angreifer die Ausführung beliebigen Codes ermöglichen. Diese Schwachstelle betrifft sowohl das mobile Benutzer-VPN mit IKEv2 als auch das Zweigstellen-VPN mit IKEv2, wenn es mit einem dynamischen Gateway-Peer konfiguriert ist. Wenn die Firebox zuvor mit dem mobilen Benutzer-VPN mit IKEv2 oder einem Zweigstellen-VPN mit IKEv2 zu einem dynamischen Gateway-Peer konfiguriert war und beide Konfigurationen inzwischen gelöscht wurden, kann diese Firebox weiterhin anfällig sein, wenn weiterhin ein Zweigstellen-VPN zu einem statischen Gateway-Peer konfiguriert ist.
Wer ist betroffen?
- Diese Sicherheitslücke betrifft Fireware OS 11.10.2 bis einschließlich 11.12.4_Update1, 12.0 bis einschließlich 12.11.3 und 2025.1.
Was ist zu tun?
- Aktualisieren Sie Ihre Fireware-Version schnellstmöglich auf eine der oben genannten Versionen
- Wenn Ihre Firebox nur mit Zweigstellen-VPN-Tunneln zu statischen Gateway-Peers konfiguriert ist und Sie das Gerät nicht sofort auf eine Version von Fireware OS mit der Sicherheitslückenbehebung aktualisieren können, können Sie als vorübergehende Problemumgehung den >> Empfehlungen von WatchGuard für den sicheren Zugriff auf Zweigstellen-VPNs folgen, die IPSec und IKEv2 verwenden.
Hilfe zur Selbsthilfe
So wie Sie es von BOC gewohnt sind, stellen wir Ihnen sehr gerne qualifiziertes Material als “Hilfe zur Selbsthilfe” zur Verfügung. In unserem technischen Blog finden Sie ein HOWTO-Artikel, wie Sie ein WatchGuard Firebox Firmware-Upgrade durchführen können:
- Firmware-Upgrade über die WatchGuard Cloud
- Firmware-Upgrade über die Web-UI
- Firmware-Upgrade über den WatchGuard System Manager (WSM)
Support durch WatchGuard oder BOC
Sofern Ihre WatchGuard Firebox Appliance über eine aktive Lizenz verfügt (was sie unbedingt sollte…!), können Sie bei Support-Fragen über Ihren WatchGuard Account einen kostenfreien Support Case direkt beim WatchGuard Support öffnen.
Die BOC als WatchGuard Platinum Partner in Deutschland bietet Ihnen ebenfalls Unterstützung an. Auf unserer BOC Support Info-Seite erklären wir Ihnen unsere Support-Philosophie. Wenn Ihnen unsere Philosophie gefällt, können Sie gerne über unser Ticket-System die aktive Support-Unterstützung durch unsere zertifizierten WatchGuard Certified System Professionals anfordern.
Im Rahmen des >> Support Tickets können wir auf Wunsch gerne Ihre vorhandene Konfig-Datei auch noch etwas genauer unter die Lupe nehmen. Mit wenigen Minuten Mehraufwand (!) lokalisieren wir mögliches Optimierungspotenzial, das dann sinnvollerweise in einem geplanten Folgetermin angegangen werden kann. Aktuell liegt unser zeitliches Hauptaugenmerk auf der Mithilfe beim Schließen der CVE-2025-9242 Schwachstelle.
Aktuelle Software Releases:
Wie üblich werden die neuesten Software Releases über software.watchguard.com zur Verfügung gestellt.
Bitte beachten Sie auch die Release Notes der jeweiligen Versionen, die darüber hinaus noch weitere Informationen über Fixes und neue Features beinhalten:
Wichtig:
- Fireware OS 2025.1.1 ist verfügbar für folgende Geräte: T115-W, T125, T125-W, T145, T145-W, T185.
- Fireware v12.11.4 ist verfügbar für folgende Geräte: Firebox NV5, T20, T25, T40, T45, T55, T70, T80, T85, M270, M290, M370, M390, M470, M570, M590, M670, M690, M4600, M5600, M4800, M5800 sowie für die virtuellen FireboxV und Firebox Cloud Modelle.
- Fireware v12.5.13 ist verfügbar für folgende Geräte: Firebox T15, T35.
- Fireware v12.3.1 Update 3 ist verfügbar für folgende Geräte: Firebox T15, T35, T55, T70, M270, M370, M470, M570, M670, M4600, M5600.
Das könnte Sie auch interessieren: