OPNsense CVE-2026-57155: Root RCE über GeoIP-Alias

OPNsense CVE-2026-57155

OPNsense CVE-2026-57155 (CVSS 9.9) ist eine Path-Traversal-Schwachstelle im GeoIP-Alias-Import der Firewall, über die ein niedrig privilegierter Benutzer bis zur vollständigen Root-Rechteausführung eskalieren kann. Es ist die fünfte kritische oder hochkritische OPNsense-Schwachstelle seit Mai 2026 — und sie trifft den deutschen Mittelstand besonders hart, weil OPNsense als kostenloses Open-Source-Produkt eine verbreitete Firewall-Wahl in der Region ist.

Was ist passiert

Die GeoIP-Alias-Funktion von OPNsense lädt eine Länderdatenbank von einer konfigurierbaren Adresse herunter und verarbeitet sie mit Root-Rechten. Frühere OPNsense-Versionen prüften weder die Quelladresse noch den Inhalt dieser Datenbank-Datei ausreichend. Ein Angreifer, der die GeoIP-Quelle umleiten kann — erreichbar bereits mit der Berechtigung „Firewall: Alias: Edit“, nicht mit vollem Admin-Zugriff — kann eine präparierte Datenbank bereitstellen, deren unsaniertes Feld country_code direkt als Ausgabedateiname verwendet wird. Kombiniert mit Directory Traversal schreibt dies angreifergesteuerte Inhalte an einen angreifergesteuerten Pfad, und zwar als Root.

Dieses willkürliche Root-Dateischreiben allein ist bereits kritisch. In Kombination mit dem Standard-newsyslog-Cronjob von OPNsense eskaliert es zu vollständiger Remote Code Execution als Root — also zur kompletten Übernahme der Firewall. Der Forscher, unterstützt von Hacking Cult GmbH, meldete die Lücke über den koordinierten Offenlegungsprozess von OPNsense; der Hersteller reagierte schnell und veröffentlichte mit Version 26.1.11 einen vollständigen Fix. Betroffen sind Versionen vor 26.1.10.

Das ist kein Einzelfall. OPNsense hat seit dem 12. Mai 2026 bereits fünf kritische oder hochkritische RCE- und Privilege-Escalation-CVEs offengelegt: CVE-2026-44193 (CVSS 9.1, RCE über die XMLRPC-Bibliothek), CVE-2026-44194 (Root-RCE über einen präparierten Benutzernamen), CVE-2026-45158 (Root-RCE über einen manipulierten DHCP-Hostnamen), CVE-2026-44195 (Umgehung der Login-Sperre) und nun CVE-2026-57155. Für mehrere dieser Lücken existiert öffentlicher Proof-of-Concept-Code. Eine aktive Ausnutzung von CVE-2026-57155 ist bislang nicht bestätigt, doch bei früheren OPNsense-Offenlegungen setzte breit angelegtes Scanning historisch innerhalb einer Woche ein.

Warum das wichtig ist

OPNsense ist bei kostenbewussten deutschen KMU und den Managed Service Providern, die deren Infrastruktur betreuen, eine verbreitete Firewall-Wahl — gerade weil sie kostenlos, quelloffen und leistungsfähig ist. Diese Verbreitung macht die niedrige Berechtigungsschwelle dieser Schwachstelle besonders relevant: „Firewall: Alias: Edit“ ist eine Berechtigung, die viele MSPs an junge Techniker delegieren oder sogar kundenseitigen Nutzern für die Pflege von Geo-Blocking-Regeln einräumen, ohne zu erwarten, dass sie den Weg zu vollem Root-Zugriff eröffnet. Ein Konto, das nie administratives Vertrauen erhalten sollte, kann am Ende die gesamte Perimeter-Firewall kontrollieren.

Für NIS2-regulierte Unternehmen bedeutet eine kompromittierte Firewall eine kompromittierte Netzwerkgrenze — genau die Art von Single Point of Failure, die Segmentierungskontrollen aus einer Risikobewertung untergräbt, unabhängig davon, wie gut andere Schutzebenen konfiguriert sind.

Was Sie jetzt tun sollten

  1. Aktualisieren Sie umgehend auf OPNsense 26.1.11; dieses eine Release behebt CVE-2026-57155 zusammen mit den vier weiteren seit Mai offengelegten CVEs.
  2. Prüfen Sie, welche Konten die Berechtigung „Firewall: Alias: Edit“ (oder verwandte GeoIP-/Alias-Berechtigungen) besitzen, und stellen Sie sicher, dass keines davon ohne dokumentierten geschäftlichen Bedarf an unverwaltete oder kundenseitige Konten vergeben ist.
  3. Falls ein sofortiges Patchen nicht möglich ist, deaktivieren oder beschränken Sie die GeoIP-Alias-Funktion und prüfen Sie, ob die konfigurierte GeoIP-Quell-URL vom Standardwert des Herstellers abweicht.
  4. Überprüfen Sie die Konfigurationsprotokolle der Firewall auf unerwartete Änderungen an GeoIP-Alias-Quelladressen und kontrollieren Sie nach jeder newsyslog-Rotation auf unbekannte Dateien außerhalb der erwarteten Verzeichnisse.

DIESEC Einschätzung

Dieses Muster sehen wir im Mittelstand immer wieder: Eine Berechtigung, die operativ harmlos erscheint — „nur einen Firewall-Alias bearbeiten“ — entpuppt sich beim genauen Verfolgen des Codepfads als vollständiges Privilege-Escalation-Primitiv. Fünf OPNsense-CVEs in zwei Monaten sind zudem eine Erinnerung daran, dass „quelloffen und kostenlos“ nicht „geringere Angriffsfläche“ bedeutet — sondern dass der Patch-Rhythmus fest in die Zuständigkeit von jemandem gehört und kein gelegentliches Nachdenken sein darf.

Nicht sicher, ob das Berechtigungsmodell Ihrer OPNsense-Installation eine solche Lücke aufweist? Kontaktieren Sie DIESEC für eine schnelle Firewall-Konfigurations- und Berechtigungsprüfung.

Quellen: Heise Security | HackerAsk (Discoverer Writeup)
Veröffentlicht: 2026-07-07 | Kategorie: Tägliche News | ~4 Min. Lesezeit