供应商对防火墙插件RCE漏洞的严重性提出异议CVE-2022-31814

IHTeam的安全研究人员在pfSense防火墙技术的插件中发现了一个严重漏洞。默认情况下未安装受影响的 pfBlockerNG 插件,无论如何,该问题已通过 6 月发布的软件更新解决。根据IHTeam的说法,这也是因为潜在的缺陷造成了未经身份验证的远程代码执行(RCE)作为受影响安装的根风险。pfSense pfBlockerNG漏洞被跟踪为CVE-2022-31814。

pfSense是基于FreeBSD的防火墙/路由器软件发行版。基于开源的网络防火墙技术可以安装在裸机上或作为虚拟设备。

pfBlockerNG是pfSense中可用的插件组件,它将促进整个 IP 范围的允许列表或拒绝列表。据研究人员称,它通常用于阻止整个国家与运行pfSense的网络进行通信,他们指出了几个需要特别注意该问题的因素。

IHTeam的一位代表说: “该漏洞是从未经身份验证的角度可利用的远程命令执行,最重要的是,Web服务器以root权限运行。 ”

重要的是,该漏洞仅限于默认未安装的pfSense插件。

“如果不主动爬取每个暴露的系统,很难说有多少系统受到影响,”IHTeam表示。

据Shodan称,互联网上有大约27000台暴露的pfSense机器。这不应被视为易受攻击系统数量的任何指示,因为许多系统不会运行受影响的pfBlockerNG插件,但不考虑自软件更新以来,即使是易受攻击的安装也可能已被修补。

在回应询问时,pfBlockerNG的开发者说:“唯一受影响的版本是2.1.4_26及以下版本。这已被修补,可以在pkg管理器中升级。pfBlockerNG-devel不受影响,是推荐使用的版本。”

分发pfSense防火墙的Netgate在回应相关查询时补充道:“他们[研究人员]发现的问题存在于pfBlockerNG包中,但已在pfBlockerNG-devel[最新的尖端版本]包中得到解决,这是包维护者推荐大家使用的版本。”

Netgate表示,要让问题暴露出来,“需要访问防火墙上的Web服务器(绝不应该在WAN上打开,并且在按照最佳实践进行配置时通常会在内部受到限制),尽管它具有理论上高分。”

IHTeam表示,开发人员仍在发布并允许用户在2.x分支和3.x分支(-development分支)之间进行安装。

“误解很容易解决,他们只需从可用插件列表中删除2.x分支,”研究人员补充说。

IHTeam在对产品的易受攻击版本进行独立安全评估时发现了pfBlockerNG中的漏洞。IHTeam于周一(9月5日)在博客文章中发布了有关该问题的技术文章。

一位不愿透露姓名的IHTeam研究人员说,该漏洞的特征为其他软件开发人员提供了教训。

研究人员解释说:“为避免这些类型的漏洞,开发人员在处理用户输入时应格外小心(不仅通过直接GET和POST请求,还通过可能在请求标头中传递的输入,例如Cookies、Host或User-代理)。

“在传递给应用程序之前,应仔细分析和清理所有用户输入。这也适用于其他类型的攻击,例如跨站点脚本(XSS)或SQL注入,不仅适用于命令执行,”他们补充道。

发表评论

评论已关闭。

相关文章