Beobachtungen
Weltweit sind über 115.000 WatchGuard Firebox Geräte von einer kritischen Schwachstelle betroffen, die Angreifern die Ausführung von Schadcode (remote code execution bzw. RCE) ermöglicht. Die Sicherheitslücke betrifft die folgenden Firewall-Betriebssysteme: Version 11.x und neuer (inclusive 11.12.4_Update1), Version 12.x und neuer (inclusive 12.11.5) sowie die Versionen 2025.1 bis einschließlich 2025.1.3. Laut der Cybersecurity & Infrastructure Security Agency (CISA) wird die Schwachstelle mit der Bezeichnung CVE-2025-14733 bereits aktiv von Angreifern ausgenutzt
Methoden
Die Sicherheitslücke entsteht durch den Dienst, der für den Aufbau verschlüsselter VPN-Tunnel verantwortlich ist. Ein Angreifer sendet manipulierte Datenpakete, die den zugewiesenen Speicherbereich „überlaufen“ lassen und kann so eigenen Schadcode einschleusen (Out-of-the-bounds-Write). Betroffen sind Konfigurationen mit IKEv2. Dabei handelt es sich um einen Dienst, der oft für mobiles Arbeiten und Standortvernetzung genutzt wird. Dadurch wird die Angriffsfläche massiv vergrößert, da diese Dienste direkt aus dem Internet erreichbar sein müssen.
Attribution
Die Ausnutzung der Schwachstelle läuft nach einem bestimmten Muster ab, das stark an die Cyclops-Blink-Kampagne erinnert, welche dem russischen Militärgeheimdienst GRU zugeschrieben wird. Aufgrund dieser Beobachtungen, könnte daher die Sandworm-Gruppe bzw. APT44 hinter den Angriffen stecken. Die Professionalität der Exploits deutet darauf hin, dass die Schwachstelle gezielt für staatliche Interessen ausgenutzt wird, um (kritische) Infrastrukturen weltweit anzugreifen. Das Ziel dabei ist die strategische Vorbereitung. Durch die Übernahme der Firewalls können die Angreifer den gesamten Datenverkehr mitlesen und bei Bedarf gezielt (OT-)Systeme sabotieren.
Empfehlungen
WatchGuard stellt einen ausführlichen Bericht sowie Indicators of Compromise (IOCs) zur Verfügung. Wir empfehlen daher allen betroffenen Stellen, die entsprechende WatchGuard-Geräte im Einsatz haben, die Empfehlungen des Herstellers so schnell wie möglich umzusetzen.