最近,研究人員發現,全球有 1,000 多台存在嚴重漏洞的 Pfsense 裝置**暴露在外,並面臨攻擊風險。
PFSaic 是 Netgate 推出的一款基於 FreeBSD 的流行開源防火牆解決方案,可以安裝在物理機或虛擬機器上,可以作為網路中的獨立防火牆和路由器。 NetGate 提供兩個版本:Pfsense Plus(付費版)和 Pfsense CE(免費社群版)。
PFSsense支援高度定製化和靈活部署,在企業市場非常受歡迎,因為它可以快速滿足特定需求,提供昂貴的商業防火牆產品中常見的基本功能,並且易於使用(提供Web配置管理介面),經常被企業用作高價效比的防火牆解決方案。
可同時利用三個漏洞執行任意命令
11 月中旬,SonarSource 的安全研究人員披露了 PFSENSE CE 27.0 及更早版本以及 pfsenseplus 2305.01及更早版本漏洞(2個跨站指令碼1個命令注入漏洞),漏洞CVE編號:CVE-2023-42325(XSS)、CVE-2023-42327(XSS)、CVE-2023-42326(命令注入)。
近日,研究人員利用Shodan掃瞄發現,全球1450個暴露的Pfsense例項仍存在上述命令注入和跨站指令碼漏洞,攻擊者可以結合這些漏洞在裝置上遠端執行**。
暴露例項的地理分布如下:
巴西 358.
美國有 196 個。
俄羅斯 92.
法國 87.
馬來西亞 54 個。
義大利 52.
德國 40 個。
越南 39 個。
中國台灣 37 個。
印度尼西亞 36.
在披露的三個漏洞中,XSS漏洞需要使用者操作才能執行,命令注入漏洞更為嚴重(CVSS得分為8)。8)。該漏洞存在於 Pfsense 的 Web UI 中,因為它用於配置網路介面的 shell 命令未應用適當的安全驗證。 攻擊者可以在GIFIF網路介面引數中注入其他命令,以root許可權執行任意命令。
為了使此漏洞起作用,攻擊者還需要訪問具有介面編輯許可權的帳戶,因此需要組合跨站點指令碼漏洞來執行攻擊。
兩個跨站指令碼漏洞(CVE-2023-42325、CVE-2023-42327)可用於在經過身份驗證的使用者瀏覽器中執行惡意 j**ascript,以控制其 Pfsense 會話。
90% 的暴露例項仍然沒有安全修復程式
2023 年 7 月 3 日,pfsense 的領先提供商 Netgate 報告了三個漏洞,並於 2023 年 11 月 6 日報告了三個漏洞(pfsenseplus 2309)和11月16日(Pfsense CE 27.1) 發布了乙個安全性更新以解決這些漏洞。
然而,在Netgate提供補丁乙個月後,超過90%的PfSense暴露例項仍然容易受到攻擊。
Sonarsource 的研究人員提供的 Saudan 掃瞄結果顯示,在暴露於網際網絡的 1,569 個 PFsense 例項中,有 1,450 個例項 (92)。4%) 容易受到上述漏洞的影響,其中 42 個執行 Pfsense Plus 2309、另外77臺執行pfsense ce 27.1。
研究人員指出,暴露易受攻擊的例項並不意味著它會立即受到攻擊(因為攻擊者需要首先針對XSS漏洞的受害者),但這種暴露將為攻擊者提供重要的攻擊面。
雖然易受攻擊的端點數量僅佔全球 Pfsense 部署的一小部分,但鑑於大型企業頻繁使用該軟體,目前的情況尤其危險。
對 PfSense 具有高階訪問許可權的攻擊者可以輕鬆造成資料洩露、訪問敏感的內部公司資源,並在受感染的網路中橫向移動。
參考鏈結: