WatchGuard veröffentlicht dritten kritischen IKEv2-Patch in zehn Monaten, während ältere Firebox-Geräte ungeschützt bleiben
TL;DR
WatchGuard veröffentlicht dritten kritischen IKEv2-Patch in zehn Monaten, während ältere Firebox-Geräte ungeschützt bleiben
WatchGuard Technologies hat gerade ein weiteres dringendes Sicherheitsupdate veröffentlicht, und ehrlich gesagt fühlt es sich langsam wie ein wiederkehrender Albtraum an. Wir sprechen hier von einer kritischen Pre-Authentication Remote Code Execution (RCE) Schwachstelle – CVE-2026-13368 – die ihre Firebox-Firewall-Appliances betrifft. Wenn man mitzählt, ist dies das dritte Mal in nur zehn Monaten, dass ihr IKEv2-VPN-Daemon ein schwerwiegendes Leck aufweist. Das ist kein gutes Aushängeschild für eine Plattform, die eigentlich der Wächter Ihres Netzwerkperimeters sein sollte.
Die Schwachstelle, die einen CVSS 4.0-Wert von 9,2 erreicht, ist ein klassischer „Use-after-Free“-Speicherfehler. Auf Deutsch gesagt? Es handelt sich um eine Race-Condition, die während des LDAP-Authentifizierungsprozesses des Mobile User VPN ausgelöst wird, wenn IKEv2 aktiv ist. Da dies unter CWE-416 fällt, kann ein nicht authentifizierter Angreifer eindringen und potenziell beliebigen Code mit vollen Systemrechten auf Ihrem Gerät ausführen. Es ist das digitale Äquivalent dazu, die Haustür offen zu lassen und den Schlüssel im Zündschloss stecken zu lassen.
Technischer Umfang und betroffene Versionen
Die Auswirkungen dieser Schwachstelle hängen stark davon ab, welche Version des Fireware OS auf Ihrer Hardware läuft. Während WatchGuard versucht hat, die aktuelle Hardware zu patchen, wirft die schiere Häufigkeit dieser IKEv2-Schwachstellen unangenehme Fragen über den Sicherheitsstatus älterer Legacy-Geräte auf. Sicherheitsforscher verfolgen diesen Trend schon seit einiger Zeit und stellen fest, dass die IKEv2-Implementierung zu einem bevorzugten Ziel für Exploits wird – ein Punkt, der durch die frühere CVE-2025-14733 unterstrichen wurde.
Wenn Sie eine unterstützte Version verwenden, sollten Sie das neueste Fireware OS-Update am besten gestern installiert haben. Die vollständige technische Analyse und Anweisungen zur Bereitstellung finden Sie im offiziellen WatchGuard-Sicherheitshinweis.
| Fireware OS Version | Status |
|---|---|
| 2026.2.1 | Gepatcht |
| 12.12.1 | Gepatcht |
| 12.5.x (T15/T35) | Ungepatcht |
| 11.x | End-of-Life |
Gefährdung der Legacy-Hardware: Die „vergessenen“ Geräte
Hier beginnt das eigentliche Kopfzerbrechen für Netzwerkadministratoren: die Legacy-Hardware. Insbesondere die Firebox-Modelle T15 und T35. Diese Arbeitstiere laufen immer noch auf der 12.5.x-Version, aber zum jetzigen Zeitpunkt gibt es keinen Patch für CVE-2026-13368. Wenn Sie eines dieser Geräte im Rack haben und Ihr IKEv2-VPN aktiviert ist, sitzen Sie effektiv auf einem Zielobjekt.
Noch schlimmer ist es für diejenigen, die an Fireware OS 11.x festhalten. Diese Geräte haben ihr End-of-Life (EOL)-Datum überschritten, was in der Branche so viel bedeutet wie: „Sie sind auf sich allein gestellt.“ Keine Sicherheitsupdates mehr, keine Patches und kein Support. Wenn Sie diese Firmware verwenden, hängen Sie nicht nur bei der Wartung hinterher, sondern arbeiten in einem permanenten Zustand der Gefährdung.
Risikominderung und Lebenszyklusmanagement
Wenn Sie moderne Hardware besitzen, ist der Weg nach vorne einfach: Aktualisieren Sie Ihre Firmware. WatchGuard stellt die Dateien auf ihrem offiziellen Ressourcenportal bereit. Warten Sie nicht auf ein Wartungsfenster, das vielleicht nie kommt – spielen Sie diese Patches ein, um die LDAP-Race-Condition zu neutralisieren.
Über die unmittelbare Brandbekämpfung hinaus müssen Sie Ihren breiteren Infrastruktur-Lebenszyklus betrachten. WatchGuard hat bereits signalisiert, dass die Firebox M290 am 1. August 2026 den Status „End-of-Sale“ (EOS) erreicht. Sie wird durch die M295 ersetzt, wobei die M290 offiziell am 1. Juli 2031 ausgemustert wird.
Hier ist der Realitätscheck für Ihren aktuellen Betrieb:
- Sofortige Maßnahme: Wenn Sie unterstützte Hardware verwenden, spielen Sie sofort Fireware OS 2026.2.1 oder 12.12.1 auf jedes internetfähige Gerät auf.
- Legacy-Risiko: Wenn Sie auf T15- oder T35-Modellen der 12.5.x-Version feststecken, ist es am besten, IKEv2-VPN-Dienste vollständig zu deaktivieren, bis ein Fix eintrifft oder Sie die Hardware ausmustern können.
- End-of-Life-Richtlinie: Firmware-Version 11.x ist eine Sackgasse. Wenn Sie sie noch verwenden, sind Sie permanent verwundbar. Es ist Zeit für ein Upgrade.
- Hardware-Beschaffung: Besitzer von M290-Einheiten können Dienste nach dem EOS-Datum im August 2026 noch verlängern, aber wundern Sie sich nicht, wenn die Logistik beim Austausch dieser Einheiten – einschließlich regionaler Anforderungen an Netzkabel – zu Reibungsverlusten bei Ihrem Beschaffungsprozess führt.
Die wiederkehrende Natur dieser IKEv2-Schwachstellen ist eine deutliche Erinnerung daran, dass „Einrichten und Vergessen“ eine gefährliche Philosophie in der Netzwerksicherheit ist. Regelmäßige Firmware-Audits sind nicht nur eine bewährte Methode, sondern eine Notwendigkeit. Während sich die Branche in Richtung widerstandsfähigerer Authentifizierungs-Frameworks bewegt, bleibt das Fortbestehen dieser Speicherfehler in VPN-Daemons ein massives Problem für alle Beteiligten. Behalten Sie das WatchGuard PSIRT-Portal genau im Auge – Sie werden es brauchen.