Unter bestimmten Voraussetzungen können Angreifer WatchGuard Firebox attackieren. Dabei kann Schadcode auf Systeme gelangen. WatchGuard Dimension und WebBlockerServer sind über eine Linux-Kernel-Lücke angreifbar. Sicherheitsupdates stehen zum Download bereit. Bislang gibt es keine Berichte, dass Angreifer die Schwachstellen bereits ausnutzen.
Schadcode-Attacken möglich
Wie aus einer Warnmeldung hervorgeht, können entfernte Angreifer eine Sicherheitslücke (CVE-2026-3987 „hoch“) im Fireware OS Web UI von Firebox-Firewalls ausnutzen, um Schadcode im Kontext eines Systemprozesses mit erhöhten Rechten auszuführen. Das klappt aber nur, wenn Angreifer bereits authentifiziert sind.
Davon sind den Entwicklern zufolge Fireware OS 12.6.1 bis einschließlich 12.11.8 und 2025.1 bis einschließlich 2026.1.2 betroffen. Die konkret betroffenen Modelle listet WatchGuard in der Warnmeldung auf. Abhilfe schaffen die Versionen 12.12 und 2026.2.
Root-Lücke
Dimension v2.3 und WebBlockerServer v2.1 laufen auf einer Ubuntu-Version, die von zwei Linux-Kernel-Lücken (CVE-2026-23268 „hoch“, CVE-2026-23269 „hoch“) im Linux Mandatory Access Control (MAC) Framework AppArmor betroffen ist. Der Beschreibung der Schwachstellen zufolge benötigt ein Angreifer Zugriff auf das lokale Dateisystem. Ist das gegeben, kann er sich zum Root-Nutzer hochstufen und so etwa eine DoS-Attacke ausführen. In der Regel erlangen Angreifer als Root auch die volle Kontrolle über erfolgreich attackierte Systeme. Wie eine solche Attacke im Detail ablaufen könnte, ist bislang unklar.
Um den Linux-Kernel für beide WatchGuard-Produkte zu aktualisieren, müssen Admins der Anleitung in einem Supportbeitrag folgen.
(des)
English (US) ·