近日,研究者发现全球超过1000台存在严重漏洞的pfSense设备在线暴露,面临攻击风险。
pfSense是Netgate推出的一款流行的开源防火墙解决方案,基于FreeBSD,可安装于实体电脑或虚拟机,能够在网络中充当独立的防火墙及路由器。Netgate提供pfSense Plus(付费版)和pfSense CE(免费社区版)两个版本。
由于支持高度定制且部署灵活,pfSense在企业市场非常受欢迎,因为它可快速满足特定需求,提供昂贵的商业防火墙产品中常见的基础功能,且易于使用(提供web配置管理界面),经常被企业作为一种经济高效的防火墙解决方案使用。
三个漏洞可被组合利用执行任意命令
11月中旬,SonarSource的安全研究人员披露了pfSense CE 2.7.0及其更早版本以及pfSensePlus 23.05.01及其更早版本的三个漏洞(两个跨站脚本和一个命令注入漏洞),漏洞CVE编号分别为:CVE-2023-42325 (XSS)、CVE-2023-42327 (XSS)和CVE-2023-42326(命令注入)。
近日,研究人员用Shodan扫描发现全球有1450个在线暴露的pfSense实例仍然存在上述命令注入和跨站脚本漏洞,攻击者可以组合利用这些漏洞,在设备上执行远程代码。
暴露实例的地域分布如下:
- 巴西358个
- 美国196个
- 俄罗斯92个
- 法国87个
- 马来西亚54个
- 意大利52个
- 德国40个
- 越南39个
- 中国台湾37个
- 印度尼西亚36个
在披露的三个漏洞中,XSS漏洞需要用户操作才能起作用,命令注入漏洞更为严重(CVSS评分8.8)。该漏洞存在于pfSense的Web UI中,因为其用于配置网络接口的shell命令未应用适当的安全验证。攻击者可在“gifif”网络接口参数中注入其他命令,以root权限执行任意命令。
为了使此漏洞发挥作用,攻击者还需要访问具有界面编辑权限的帐户,因此需要将跨站脚本漏洞组合在一起实施攻击。
两个跨站脚本漏洞(CVE-2023-42325、CVE-2023-42327)可用于在经过身份验证的用户浏览器中执行恶意JavaScript,以获取对其pfSense会话的控制权。
九成暴露实例仍未修复漏洞
pfSense的供应商Netgate于2023年7月3日收到三个漏洞的报告,并于11月6日(pfSensePlus 23.09)和11月16日(pfSense CE 2.7.1)发布了解决这些漏洞的安全更新。
然而,在Netgate提供补丁一个月后,仍有九成以上的pfSense暴露实例容易受到攻击。
SonarSource的研究人员提供的Shodan扫描结果显示,在1569个暴露于互联网的pfSense实例中,1450个实例(92.4%)容易受到上述漏洞的影响,其中42个运行pfSense Plus 23.09,另外77个运行pfSense CE 2.7.1。
研究人员指出,存在漏洞的实例暴露并不意味着会立即遭到攻击(因为攻击者首先需要针对存在XSS漏洞的受害者),但这种暴露会给攻击者提供一个重要的攻击面。
虽然易受攻击端点的数量仅占全球pfSense部署的一小部分,但考虑到大型企业经常使用该软件,因此目前的状况特别危险。
能够获得pfSense高级访问权限的攻击者可以轻松造成数据泄露、访问企业敏感内部资源并在受感染网络内横向移动。
