Firebox

Die Schwachstelle steckt im iked-Prozess des Fireware-Betriebssystems, das auf den Firebox-Firewalls von WatchGuard läuft und die IKEv2-Aushandlung für VPN-Verbindungen abwickelt. Es handelt sich um einen Out-of-Bounds-Write: Der Prozess schreibt Daten über die Grenzen des dafür vorgesehenen Speicherbereichs hinaus. Ausnutzen lässt sich der Fehler aus der Ferne und ohne vorherige Anmeldung – ein unauthentifizierter Angreifer kann dadurch beliebigen Code auf dem Gerät ausführen und es so unter seine Kontrolle bringen. Betroffen sind sowohl der Mobile User VPN mit IKEv2 als auch der Branch Office VPN über IKEv2, letzterer jedoch nur dann, wenn er mit einem dynamischen Gateway-Gegenstellen-Peer konfiguriert ist. Da VPN-Endpunkte typischerweise direkt aus dem Internet erreichbar sind, ist der iked-Prozess ein besonders exponierter Angriffspunkt, und eine erfolgreiche Übernahme der Firewall gefährdet den gesamten darüber laufenden Netzwerkverkehr.