Por EcoThust
14 de Dez de 2023.
Atenção empresas que utilizam esse Firewall para proteger e gerir suas redes!
Cerca de 1.450 instâncias do pfSense expostas à Internet são vulneráveis a uma cadeia de vulnerabilidades que podem permitir que invasores executem código remoto nos dispositivos. As vulnerabilidades são rastreadas como CVE-2023-42325 (XSS), CVE-2023-42327 (XSS) e CVE-2023-42326 (injeção de comando).
Explorabilidade:
As falhas de XSS são exploradas por meio de ataques de injeção de código no navegador de um usuário autenticado. Os invasores podem usar essas falhas para obter controle sobre a sessão do usuário e executar JavaScript mal-intencionado.
A falha de injeção de comando é explorada por meio da manipulação de parâmetros de rede na interface da Web do pfSense. Os invasores podem usar essa falha para executar comandos arbitrários com privilégios de root.
Para que as vulnerabilidades sejam exploradas em conjunto, o invasor precisa primeiro obter acesso a uma conta com permissões de edição de interface. Uma vez que tenham acesso a uma conta com permissões de edição de interface, os invasores podem então injetar comandos arbitrários no parâmetro de interface de rede “gifif”. Esses comandos serão executados com privilégios de root, permitindo que os invasores assumam o controle total do servidor pfSense.
Mitigação:
A Netgate lançou patches para corrigir duas vulnerabilidades críticas no pfSense: XSS refletido e injeção de comando.
Para corrigir o XSS refletido, os mantenedores do pfSense usaram as funções urlencode() e htmlentities(). Essas funções codificam a entrada do usuário para que ela não possa ser usada para executar código mal-intencionado.
Para corrigir a injeção de comando, os mantenedores usaram a função escapeshellarg(). Essa função encapsula a entrada do usuário em aspas simples e escapa de aspas simples já presentes na entrada. O shell interpreta a entrada como uma única cadeia de caracteres, o que impede que valores injetados executem comandos mal-intencionados adicionais.
Além disso, o patch verifica se a entrada do usuário começa com um prefixo seguro para evitar uma vulnerabilidade de injeção de argumento.
Em ambos os casos, a codificação/fuga já era usada, apenas não em todas as variáveis interpoladas em um contexto perigoso. As suposições erradas sobre quais variáveis são controláveis pelo usuário levam às vulnerabilidades mostradas.
Recomendações
Recomenda-se que os administradores de sistemas atualizem seus servidores pfSense para as versões 23.09 ou 2.7.1, respectivamente.
Os administradores de sistemas também devem monitorar seus servidores pfSense para atividade suspeita.
Qualquer dúvida, estamos a disposição -> Ainix Tecnologia