Er zijn meerdere beveiligingsproblemen ontdekt in de open-source Netgate pfSense-firewalloplossing genaamd pfSense, die door een aanvaller aan een ketting kan worden gekoppeld om willekeurige opdrachten uit te voeren op gevoelige apparaten.
Volgens nieuwe bevindingen van Sonar hebben de problemen betrekking op twee gereflecteerde cross-site scripting (XSS) bugs en één commando-injectiefout.
“De beveiliging binnen een lokaal netwerk is vaak lakser omdat netwerkbeheerders erop vertrouwen dat hun firewalls hen beschermen tegen aanvallen op afstand”, zegt beveiligingsonderzoeker Oskar Zeino-Mahmalat.
“Potentiële aanvallers hadden de ontdekte kwetsbaarheden kunnen gebruiken om verkeer te bespioneren of diensten binnen het lokale netwerk aan te vallen.”
Met gevolgen voor pfSense CE 2.7.0 en lager en pfSense Plus 23.05.1 en lager kunnen de tekortkomingen worden versterkt door een geauthenticeerde pfSense-gebruiker (dat wil zeggen een admin-gebruiker) te misleiden om op een speciaal vervaardigde URL te klikken, die een XSS-payload bevat die activeert commando injectie.
Hieronder vindt u een korte beschrijving van de tekortkomingen:
- CVE-2023-42325 (CVSS-score: 5.4) – Een XSS-kwetsbaarheid waarmee een externe aanvaller rechten kan verwerven via een vervaardigde URL naar de pagina status_logs_filter_dynamic.php.
- CVE-2023-42327 (CVSS-score: 5,4) – Een XSS-kwetsbaarheid waarmee een externe aanvaller privileges kan verwerven via een vervaardigde URL naar de pagina getserviceproviders.php.
- CVE-2023-42326 (CVSS-score: 8,8) – Een gebrek aan validatie waardoor een aanvaller op afstand willekeurige code kan uitvoeren via een vervaardigd verzoek naar de componenten interfaces_gif_edit.php en interfaces_gre_edit.php.
Gereflecteerde XSS-aanvallen, ook wel niet-persistente aanvallen genoemd, vinden plaats wanneer een aanvaller een kwaadaardig script aflevert bij een kwetsbare webapplicatie, dat vervolgens wordt geretourneerd in het HTTP-antwoord en wordt uitgevoerd in de webbrowser van het slachtoffer.
Als gevolg hiervan worden dit soort aanvallen geactiveerd door middel van vervaardigde links die zijn ingebed in phishing-berichten of op een website van derden, bijvoorbeeld in een commentaarsectie of in de vorm van links die worden gedeeld op posts op sociale media. In het geval van pfSense kan de bedreigingsacteur met toestemming van het slachtoffer acties uitvoeren in de firewall.
“Omdat het pfSense-proces als root draait om de netwerkinstellingen te kunnen wijzigen, kan de aanvaller met deze aanval willekeurige systeemopdrachten als root uitvoeren”, aldus Zeino-Mahmalat.
Na verantwoorde openbaarmaking op 3 juli 2023 zijn de fouten verholpen in pfSense CE 2.7.1 en pfSense Plus 23.09 die vorige maand zijn uitgebracht.
De ontwikkeling komt weken nadat Sonar een fout in de uitvoering van externe code in de ingebouwde integratie van npm van Microsoft Visual Studio Code (CVE-2023-36742, CVSS-score: 7.8) heeft beschreven die kan worden ingezet om willekeurige opdrachten uit te voeren. Het werd door Microsoft aangepakt als onderdeel van de Patch Tuesday-updates voor september 2023.
