В решении pfSense для брандмауэра Netgate pfSense с открытым исходным кодом под названием pfSense обнаружено множество уязвимостей безопасности, которые злоумышленник может использовать для выполнения произвольных команд на уязвимых устройствах.
Согласно новым выводам Sonar, проблемы связаны с двумя отраженными ошибками межсайтового скриптинга (XSS) и одним недостатком при внедрении команд.
"Безопасность внутри локальной сети часто более слаба, поскольку сетевые администраторы доверяют своим брандмауэрам для защиты от удаленных атак", - сказал исследователь безопасности Оскар Зейно-Махмалат.
"Потенциальные злоумышленники могли использовать обнаруженные уязвимости для слежки за трафиком или атаковать службы внутри локальной сети".
Влияние pfSense CE 2.7.0 и ниже и pfSense Plus 23.05.1 и ниже, недостатки могут быть устранены путем обмана аутентифицированного пользователя pfSense (т. Е. администратора), который нажимает на специально созданный URL-адрес, содержащий полезную нагрузку XSS, которая активирует внедрение команды.
Краткое описание недостатков приведено ниже -
В результате атаки такого рода запускаются с помощью искусственных ссылок, встроенных в фишинговые сообщения или веб-сайт сторонних производителей, например, в разделе комментариев или в виде ссылок, размещаемых в публикациях в социальных сетях. В случае pfSense субъект угрозы может выполнять действия в брандмауэре с разрешениями жертвы.
"Поскольку процесс pfSense запускается от имени пользователя root, чтобы иметь возможность изменять сетевые настройки, злоумышленник может выполнять произвольные системные команды от имени пользователя root, используя эту атаку", - сказал Зейно-Махмалат.
После ответственного раскрытия 3 июля 2023 года недостатки были устранены в pfSense CE 2.7.1 и pfSense Plus 23.09, выпущенных в прошлом месяце.
Разработка началась через несколько недель после того, как Sonar подробно описал недостаток удаленного выполнения кода во встроенной интеграции npm Microsoft Visual Studio Code (CVE-2023-36742, оценка CVSS: 7,8), который может быть использован для выполнения произвольных команд. Microsoft устранила их в рамках своих обновлений во вторник для исправления за сентябрь 2023 года.
Согласно новым выводам Sonar, проблемы связаны с двумя отраженными ошибками межсайтового скриптинга (XSS) и одним недостатком при внедрении команд.
"Безопасность внутри локальной сети часто более слаба, поскольку сетевые администраторы доверяют своим брандмауэрам для защиты от удаленных атак", - сказал исследователь безопасности Оскар Зейно-Махмалат.
"Потенциальные злоумышленники могли использовать обнаруженные уязвимости для слежки за трафиком или атаковать службы внутри локальной сети".
Влияние pfSense CE 2.7.0 и ниже и pfSense Plus 23.05.1 и ниже, недостатки могут быть устранены путем обмана аутентифицированного пользователя pfSense (т. Е. администратора), который нажимает на специально созданный URL-адрес, содержащий полезную нагрузку XSS, которая активирует внедрение команды.
Краткое описание недостатков приведено ниже -
- CVE-2023-42325 (оценка CVSS: 5.4) - уязвимость XSS, которая позволяет удаленному злоумышленнику получить привилегии через созданный URL-адрес на странице status_logs_filter_dynamic.php.
- CVE-2023-42327 (оценка CVSS: 5.4) - уязвимость XSS, которая позволяет удаленному злоумышленнику получить привилегии через созданный URL-адрес на странице getserviceproviders.php.
- CVE-2023-42326 (оценка CVSS: 8,8) - Отсутствие проверки, которая позволяет удаленному злоумышленнику выполнять произвольный код с помощью созданного запроса к компонентам interfaces_gif_edit.php и interfaces_gre_edit.php.
В результате атаки такого рода запускаются с помощью искусственных ссылок, встроенных в фишинговые сообщения или веб-сайт сторонних производителей, например, в разделе комментариев или в виде ссылок, размещаемых в публикациях в социальных сетях. В случае pfSense субъект угрозы может выполнять действия в брандмауэре с разрешениями жертвы.
"Поскольку процесс pfSense запускается от имени пользователя root, чтобы иметь возможность изменять сетевые настройки, злоумышленник может выполнять произвольные системные команды от имени пользователя root, используя эту атаку", - сказал Зейно-Махмалат.
После ответственного раскрытия 3 июля 2023 года недостатки были устранены в pfSense CE 2.7.1 и pfSense Plus 23.09, выпущенных в прошлом месяце.
Разработка началась через несколько недель после того, как Sonar подробно описал недостаток удаленного выполнения кода во встроенной интеграции npm Microsoft Visual Studio Code (CVE-2023-36742, оценка CVSS: 7,8), который может быть использован для выполнения произвольных команд. Microsoft устранила их в рамках своих обновлений во вторник для исправления за сентябрь 2023 года.
