// HEISE ONLINE — CYBERSECURITY
OPNsense-Update beseitigt kritische Rootlücke und weitere Sicherheitsrisiken
Aktuelle Versionen der Open-Source-Firewall-Distribution schließen mehrere Einfallstore. Eine als kritisch bewertete Lücke macht das Update besonders dringlich.
This article is also available in
English.
It was translated with technical assistance and editorially reviewed before publication.
Die kürzlich erschienenen Versionen 26.1.11 und 26.4.1(p1) von OPNsense, einer quelloffenen Firewall- und Routing-Plattform auf FreeBSD-Basis, bringen Sicherheitsfixes mit.
Unter den geschlossenen Lücken befindet sich auch eine kritische: CVE-2026-57155 (CVSS-Score 9.9 von 10.0) hätte unter bestimmten Voraussetzungen zur Rechteausweitung und letztlich zur kompletten Firewall-Übernahme missbraucht werden können. Nutzer sollten sicherstellen, dass ihre Installation auf dem neuesten Stand ist.
Die kritische Lücke steckte in der GeoIP-Alias-Komponente. Die lädt eine Länderdatenbank von einer frei wählbaren Adresse herunter und verarbeitet sie mit Root-Rechten.
Gemäß Erläuterungen des Lückenentdeckers Jonas Ampferl hätten frühere OPNsense-Versionen weder die Adresse noch den Inhalt der Datenbank-Datei ausreichend geprüft. Aufgrund dieses Mangels hätte ein entfernter Angreifer die Firewall auf einen eigenen Server lenken, von dort ein (manipuliertes) GeoIP-Archiv herunterladen und über dieses eigene Dateien ins Zielsystem schreiben lassen können.
Von diesem Ausgangspunkt aus hätten sich dann die Zugriffs- bis hin zu Root-Rechten ausweiten lassen, und auch Codeausführung aus der Ferne als root wäre möglich gewesen. Für den ganzen Vorgang hätte ein Angreifer lediglich relativ geringe Zugriffsrechte einschließlich der Berechtigung benötigt, Firewall-Aliase zu bearbeiten.
Wer sich für weitere Angriffsdetails interessiert, kann diese in einem technischen Write-up des Sicherheitsforschers nachlesen.
Informationen zu den übrigen gefixten Lücken sind der Advisory-Übersicht im OPNsense-GitHub-Repository zu entnehmen. Der Schweregrad der von ihnen ausgehenden Bedrohung reicht von „moderate“ bis „high“.
Ob Sicherheitslücken, Viren oder Trojaner – alle sicherheitsrelevanten Meldungen gibts bei heise security