Watchguard Firebox: Gefährdung durch Standardpasswort für Admin

In den Firebox-Firewalls von Watchguard können sich Angreifer womöglich leicht Admin-Rechte verschaffen. Die Sicherheitslücke gilt als kritisch.

Der Schwachstelleneintrag lautet nur recht knapp: „Die Standardkonfiguration von Watchguard Firebox-Geräten bis 2025-09-10 ermöglicht administrativen Zugang mittels SSH auf Port 4118 mit dem readwrite-Passwort für das Admin-Konto.“ (CVE-2025-59396 / EUVD-2025-38053, CVSS 9.8, Risiko „kritisch„). Das CERT-Bund vergibt sogar die Höchstwertung CVSS 10 von 10 für die Lücke. Eine detailliertere Fehlerbeschreibung weist jedoch darauf hin, dass es nicht um ein zu erlangendes Passwort geht, sondern dass der Zugang „admin“ standardmäßig mit dem Passwort „readwrite“ versehen wird. Angreifer aus dem Netz können in der Standardkonfiguration daher mit Watchguard Firebox geschützte Netze leicht dadurch kompromittieren.

Neuere Firmwares lösen das Problem offenbar, zumindest laut CVE-Eintrag. Watchguard dokumentiert die Standardeinstellungen zudem – aufmerksame Admins sollten das Problem daher selbst gelöst haben. Die Firewalls erzwingen der Dokumentation zufolge jedoch keine Änderung der Zugangsdaten, wenn die Wizards zur Einrichtung durchlaufen werden, ermöglichen diese zumindest jedoch.

Gefahr durch Standardpasswörter

Das weckt Reminiszenzen an billigste chinesische Heim-Router mit der Username-Passwort-Kombination „admin:admin“. Auch die sind zwar oftmals dokumentiert, die Nutzerschaft neigt jedoch dazu, sie nicht zu ändern. Im Falle einiger weiter verbreiteter Photovoltaik-Wechselrichter ist das Problem sogar weiterreichend – die Standardpasswörter lassen sich bei einigen gar nicht erst ändern.

Wer Watchguard-Firewalls betreibt, sollte die Zugangsdaten prüfen und gegebenenfalls rasch ändern. Die Dokumentation, die die Standardpasswörter beschreibt, bezieht sich nicht auf bestimmte Modelle. Es scheinen daher alle Modelle aus dem Hause davon betroffen zu sein. Die Fehlermeldung lässt offen, ob lediglich Geräte bis zum 10. September 2025 überprüft wurden, oder ob seitdem neuere Firmware-Versionen Änderungen mitbringen. Die Changelogs für jüngere Firmware etwa vom 17.09.2025 nennen lediglich eine Korrektur für eine andere, ältere Sicherheitslücke.

Watchguard-Firewalls fielen jüngst durch schwerwiegende Sicherheitslücken auf. Mitte September etwa warnte der Hersteller bereits vor einer kritischen Schwachstelle bei aktivierter VPN-Funktion. Rund einen Monat später, gegen Ende November, waren weltweit noch 70.000 Watchguard-Firewalls aus dem Internet erreichbar und anfällig für die Schwachstelle; alleine in Deutschland standen mehr als 7000 davon.

(dmk)