九成pfSense开源防火墙暴露实例存在高危漏洞

近日,研究者发现全球超过1000台存在严重漏洞的pfSense设备在线暴露,面临攻击风险。

pfSense是Netgate推出的一款流行的开源防火墙解决方案,基于FreeBSD,可安装于实体电脑或虚拟机,能够在网络中充当独立的防火墙及路由器。Netgate提供pfSense Plus(付费版)和pfSense CE(免费社区版)两个版本。

由于支持高度定制且部署灵活,pfSense在企业市场非常受欢迎,因为它可快速满足特定需求,提供昂贵的商业防火墙产品中常见的基础功能,且易于使用(提供web配置管理界面),经常被企业作为一种经济高效的防火墙解决方案使用。

三个漏洞可被组合利用执行任意命令

11月中旬,SonarSource的安全研究人员披露了pfSense CE 2.7.0及其更早版本以及pfSensePlus 23.05.01及其更早版本的三个漏洞(两个跨站脚本和一个命令注入漏洞),漏洞CVE编号分别为:CVE-2023-42325 (XSS)、CVE-2023-42327 (XSS)和CVE-2023-42326(命令注入)。

近日,研究人员用Shodan扫描发现全球有1450个在线暴露的pfSense实例仍然存在上述命令注入和跨站脚本漏洞,攻击者可以组合利用这些漏洞,在设备上执行远程代码。

暴露实例的地域分布如下:

巴西358个美国196个俄罗斯92个法国87个马来西亚54个意大利52个德国40个越南39个中国台湾37个印度尼西亚36个

在披露的三个漏洞中,XSS漏洞需要用户操作才能起作用,命令注入漏洞更为严重(CVSS评分8.8)。该漏洞存在于pfSense的Web UI中,因为其用于配置网络接口的shell命令未应用适当的安全验证。攻击者可在“gifif”网络接口参数中注入其他命令,以root权限执行任意命令。

为了使此漏洞发挥作用,攻击者还需要访问具有界面编辑权限的帐户,因此需要将跨站脚本漏洞组合在一起实施攻击。

两个跨站脚本漏洞(CVE-2023-42325、CVE-2023-42327)可用于在经过身份验证的用户浏览器中执行恶意JavaScript,以获取对其pfSense会话的控制权。

九成暴露实例仍未修复漏洞

pfSense的供应商Netgate于2023年7月3日收到三个漏洞的报告,并于11月6日(pfSensePlus 23.09)和11月16日(pfSense CE 2.7.1)发布了解决这些漏洞的安全更新。

然而,在Netgate提供补丁一个月后,仍有九成以上的pfSense暴露实例容易受到攻击。

SonarSource的研究人员提供的Shodan扫描结果显示,在1569个暴露于互联网的pfSense实例中,1450个实例(92.4%)容易受到上述漏洞的影响,其中42个运行pfSense Plus 23.09,另外77个运行pfSense CE 2.7.1。

研究人员指出,存在漏洞的实例暴露并不意味着会立即遭到攻击(因为攻击者首先需要针对存在XSS漏洞的受害者),但这种暴露会给攻击者提供一个重要的攻击面。

虽然易受攻击端点的数量仅占全球pfSense部署的一小部分,但考虑到大型企业经常使用该软件,因此目前的状况特别危险。

能够获得pfSense高级访问权限的攻击者可以轻松造成数据泄露、访问企业敏感内部资源并在受感染网络内横向移动。

参考链接:https://www.sonarsource.com/blog/pfsense-vulnerabilities-sonarcloud/

前一篇俄乌网络战全面升级:乌克兰全国断网、俄罗斯税务系统瘫痪
后一篇2024第三届上海网络安全博览会暨发展论坛