WatchGuard veröffentlicht dritten kritischen IKEv2-Patch in zehn Monaten, während ältere Firebox-Geräte ungeschützt bleiben

CVE-2026-13368 WatchGuard Firebox vulnerability IKEv2 VPN security Fireware OS update remote code execution
E
Elena Voss

Senior Cybersecurity Analyst & Privacy Advocate

 
8. Juli 2026
4 Min. Lesezeit
WatchGuard veröffentlicht dritten kritischen IKEv2-Patch in zehn Monaten, während ältere Firebox-Geräte ungeschützt bleiben

TL;DR

• WatchGuard veröffentlichte einen kritischen Patch für CVE-2026-13368 (CVSS 9.2). • Die Schwachstelle ermöglicht eine nicht authentifizierte RCE über den IKEv2-VPN-Daemon. • Dies ist die dritte große IKEv2-Schwachstelle innerhalb von zehn Monaten. • Ältere T15/T35-Modelle bleiben ungepatcht und sind stark gefährdet. • Administratoren sollten das Fireware OS sofort aktualisieren oder IKEv2 deaktivieren.

WatchGuard veröffentlicht dritten kritischen IKEv2-Patch in zehn Monaten, während ältere Firebox-Geräte ungeschützt bleiben

WatchGuard Technologies hat gerade ein weiteres dringendes Sicherheitsupdate veröffentlicht, und ehrlich gesagt fühlt es sich langsam wie ein wiederkehrender Albtraum an. Wir sprechen hier von einer kritischen Pre-Authentication Remote Code Execution (RCE) Schwachstelle – CVE-2026-13368 – die ihre Firebox-Firewall-Appliances betrifft. Wenn man mitzählt, ist dies das dritte Mal in nur zehn Monaten, dass ihr IKEv2-VPN-Daemon ein schwerwiegendes Leck aufweist. Das ist kein gutes Aushängeschild für eine Plattform, die eigentlich der Wächter Ihres Netzwerkperimeters sein sollte.

Die Schwachstelle, die einen CVSS 4.0-Wert von 9,2 erreicht, ist ein klassischer „Use-after-Free“-Speicherfehler. Auf Deutsch gesagt? Es handelt sich um eine Race-Condition, die während des LDAP-Authentifizierungsprozesses des Mobile User VPN ausgelöst wird, wenn IKEv2 aktiv ist. Da dies unter CWE-416 fällt, kann ein nicht authentifizierter Angreifer eindringen und potenziell beliebigen Code mit vollen Systemrechten auf Ihrem Gerät ausführen. Es ist das digitale Äquivalent dazu, die Haustür offen zu lassen und den Schlüssel im Zündschloss stecken zu lassen.

Technischer Umfang und betroffene Versionen

Die Auswirkungen dieser Schwachstelle hängen stark davon ab, welche Version des Fireware OS auf Ihrer Hardware läuft. Während WatchGuard versucht hat, die aktuelle Hardware zu patchen, wirft die schiere Häufigkeit dieser IKEv2-Schwachstellen unangenehme Fragen über den Sicherheitsstatus älterer Legacy-Geräte auf. Sicherheitsforscher verfolgen diesen Trend schon seit einiger Zeit und stellen fest, dass die IKEv2-Implementierung zu einem bevorzugten Ziel für Exploits wird – ein Punkt, der durch die frühere CVE-2025-14733 unterstrichen wurde.

Wenn Sie eine unterstützte Version verwenden, sollten Sie das neueste Fireware OS-Update am besten gestern installiert haben. Die vollständige technische Analyse und Anweisungen zur Bereitstellung finden Sie im offiziellen WatchGuard-Sicherheitshinweis.

Fireware OS Version Status
2026.2.1 Gepatcht
12.12.1 Gepatcht
12.5.x (T15/T35) Ungepatcht
11.x End-of-Life

Gefährdung der Legacy-Hardware: Die „vergessenen“ Geräte

Hier beginnt das eigentliche Kopfzerbrechen für Netzwerkadministratoren: die Legacy-Hardware. Insbesondere die Firebox-Modelle T15 und T35. Diese Arbeitstiere laufen immer noch auf der 12.5.x-Version, aber zum jetzigen Zeitpunkt gibt es keinen Patch für CVE-2026-13368. Wenn Sie eines dieser Geräte im Rack haben und Ihr IKEv2-VPN aktiviert ist, sitzen Sie effektiv auf einem Zielobjekt.

Noch schlimmer ist es für diejenigen, die an Fireware OS 11.x festhalten. Diese Geräte haben ihr End-of-Life (EOL)-Datum überschritten, was in der Branche so viel bedeutet wie: „Sie sind auf sich allein gestellt.“ Keine Sicherheitsupdates mehr, keine Patches und kein Support. Wenn Sie diese Firmware verwenden, hängen Sie nicht nur bei der Wartung hinterher, sondern arbeiten in einem permanenten Zustand der Gefährdung.

Risikominderung und Lebenszyklusmanagement

Wenn Sie moderne Hardware besitzen, ist der Weg nach vorne einfach: Aktualisieren Sie Ihre Firmware. WatchGuard stellt die Dateien auf ihrem offiziellen Ressourcenportal bereit. Warten Sie nicht auf ein Wartungsfenster, das vielleicht nie kommt – spielen Sie diese Patches ein, um die LDAP-Race-Condition zu neutralisieren.

Über die unmittelbare Brandbekämpfung hinaus müssen Sie Ihren breiteren Infrastruktur-Lebenszyklus betrachten. WatchGuard hat bereits signalisiert, dass die Firebox M290 am 1. August 2026 den Status „End-of-Sale“ (EOS) erreicht. Sie wird durch die M295 ersetzt, wobei die M290 offiziell am 1. Juli 2031 ausgemustert wird.

Hier ist der Realitätscheck für Ihren aktuellen Betrieb:

  • Sofortige Maßnahme: Wenn Sie unterstützte Hardware verwenden, spielen Sie sofort Fireware OS 2026.2.1 oder 12.12.1 auf jedes internetfähige Gerät auf.
  • Legacy-Risiko: Wenn Sie auf T15- oder T35-Modellen der 12.5.x-Version feststecken, ist es am besten, IKEv2-VPN-Dienste vollständig zu deaktivieren, bis ein Fix eintrifft oder Sie die Hardware ausmustern können.
  • End-of-Life-Richtlinie: Firmware-Version 11.x ist eine Sackgasse. Wenn Sie sie noch verwenden, sind Sie permanent verwundbar. Es ist Zeit für ein Upgrade.
  • Hardware-Beschaffung: Besitzer von M290-Einheiten können Dienste nach dem EOS-Datum im August 2026 noch verlängern, aber wundern Sie sich nicht, wenn die Logistik beim Austausch dieser Einheiten – einschließlich regionaler Anforderungen an Netzkabel – zu Reibungsverlusten bei Ihrem Beschaffungsprozess führt.

Die wiederkehrende Natur dieser IKEv2-Schwachstellen ist eine deutliche Erinnerung daran, dass „Einrichten und Vergessen“ eine gefährliche Philosophie in der Netzwerksicherheit ist. Regelmäßige Firmware-Audits sind nicht nur eine bewährte Methode, sondern eine Notwendigkeit. Während sich die Branche in Richtung widerstandsfähigerer Authentifizierungs-Frameworks bewegt, bleibt das Fortbestehen dieser Speicherfehler in VPN-Daemons ein massives Problem für alle Beteiligten. Behalten Sie das WatchGuard PSIRT-Portal genau im Auge – Sie werden es brauchen.

E
Elena Voss

Senior Cybersecurity Analyst & Privacy Advocate

 

Elena Voss is a former penetration tester turned cybersecurity journalist with over 12 years of experience in the information security industry. After working with Fortune 500 companies to identify vulnerabilities in their networks, she transitioned to writing full-time to make complex security concepts accessible to everyday users. Elena holds a CISSP certification and a Master's degree in Information Assurance from Carnegie Mellon University. She is passionate about helping non-technical readers understand why digital privacy matters and how they can protect themselves online.

Verwandte Nachrichten

Private Internet Access Updates WireGuard and OpenVPN Protocol Implementations to Strengthen Remote Access Security
WireGuard and OpenVPN protocol security updates

Private Internet Access Updates WireGuard and OpenVPN Protocol Implementations to Strengthen Remote Access Security

Private Internet Access upgrades WireGuard and OpenVPN protocols to boost remote access security, performance, and encryption stability. Learn how it impacts you.

Von Viktor Sokolov 10. Juli 2026 4 Min. Lesezeit
common.read_full_article
Critical CitrixBleed Vulnerability Under Active Exploitation Prompts Urgent Security Patch for NetScaler Gateways
CitrixBleed

Critical CitrixBleed Vulnerability Under Active Exploitation Prompts Urgent Security Patch for NetScaler Gateways

Critical vulnerability CVE-2023-4966 is under active exploitation. Patch your NetScaler ADC and Gateway appliances immediately to prevent session hijacking.

Von Marcus Chen 9. Juli 2026 4 Min. Lesezeit
common.read_full_article
Dropbox Security Breach Prompts Enterprise Review of Encryption Protocols and Remote Access Alternatives for 2026
Dropbox security breach

Dropbox Security Breach Prompts Enterprise Review of Encryption Protocols and Remote Access Alternatives for 2026

Following the Dropbox security breach, enterprises are urgently reviewing encryption protocols and remote access alternatives. Learn the impact and 2026 security trends.

Von James Okoro 7. Juli 2026 4 Min. Lesezeit
common.read_full_article
Critical CitrixBleed Vulnerability Under Active Exploitation Prompts Urgent Security Patch for NetScaler Gateways
CitrixBleed vulnerability

Critical CitrixBleed Vulnerability Under Active Exploitation Prompts Urgent Security Patch for NetScaler Gateways

Urgent security alert: Active exploitation of CitrixBleed and CVE-2026-8451 threatens NetScaler gateways. Patch immediately to prevent session hijacking.

Von Marcus Chen 6. Juli 2026 4 Min. Lesezeit
common.read_full_article