Mais de 1.450 servidores pfSense expostos a ataques RCE via cadeia de bugs
13 de Dezembro de 2023

Aproximadamente 1.450 instâncias do pfSense expostas online estão vulneráveis a falhas de injeção de comando e cross-site scripting que, se concatenadas, poderiam permitir aos atacantes a execução remota de código no aparelho.

pfSense é um popular software de firewall e roteador de código aberto que permite personalização extensiva e flexibilidade de implantação.

É uma solução de custo efetivo que acomoda necessidades específicas, oferecendo uma ampla gama de recursos tipicamente encontrados em produtos comerciais caros.

Em meados de novembro, pesquisadores da SonarSource, com a ajuda de sua solução SonarCloud, descobriram três falhas impactando as versões pfSense 2.7.0 e anteriores, e pfSense Plus 23.05.01 e anteriores.

As falhas são rastreadas como CVE-2023-42325 (XSS), CVE-2023-42327 (XSS) e CVE-2023-42326 (injeção de comando).

Embora as falhas de XSS exijam ação do usuário do lado da vítima para funcionar, a falha de injeção de comando é mais severa (pontuação CVSS: 8.8).

Essa vulnerabilidade na interface de usuário web do pfSense se origina de comandos shell sendo construídos a partir de dados fornecidos pelo usuário para a configuração de interfaces de rede sem a devida validação.

A falha impacta o parâmetro de interface de rede "gifif", que não é verificado para valores seguros, permitindo que atores maliciosos injetem comandos adicionais no parâmetro, levando à execução dos mesmos com privilégios de root.

Para que esse exploit funcione, o ator de ameaça precisa de acesso a uma conta com permissões de edição de interface, daí a necessidade de concatenar as falhas para um ataque poderoso.

As falhas CVE-2023-42325 ou CVE-2023-42327 podem ser usadas para executar JavaScript malicioso no navegador de um usuário autenticado para ganhar controle sobre sua sessão pfSense.

A Netgate, fornecedora do pfSense, recebeu relatórios sobre as três falhas em 3 de julho de 2023, e lançou atualizações de segurança que as corrigiram em 6 de novembro (pfSense Plus 23.09) e 16 de novembro (pfSense CE 2.7.1).

No entanto, um mês após os patches serem disponibilizados pela Netgate, quase 1.500 instâncias do pfSense ainda permanecem vulneráveis aos ataques.

Os resultados de varredura do Shodan que os pesquisadores da SonarSource compartilharam com o BleepingComputer mostram que, das 1.569 instâncias do pfSense expostas na Internet, 42 usam o pfSense Plus 23.09 e outras 77 usam a Edição Comunitária do pfSense 2.7.1.

Isso deixa 1.450 instâncias (92,4%), que são diretamente descobertas pelo Shodan, vulneráveis às falhas mencionadas.

Embora essa exposição não torne essas instâncias susceptíveis a comprometimentos imediatos, já que os atacantes primeiro precisariam mirar vítimas com falhas XSS, a exposição cria uma superfície de ataque significativa.

Mesmo que o número de pontos de acesso vulneráveis represente uma pequena fração dos deployes globais do pfSense, o fato de grandes empresas frequentemente usarem o software torna essa situação particularmente perigosa.

Um atacante com acesso ao pfSense operando com privilégios de alto nível pode facilmente causar violações de dados, acessar recursos internos sensíveis e se mover lateralmente dentro da rede comprometida.

Publicidade

Black November Solyd 2024

Em nenhum outro momento você conseguirá pagar tão pouco em um treinamento e certificação Solyd. A Solyd não te oferece um simples curso online. Mas sim uma experiência completa de aulas com três profissionais que vivem e trabalham como um hacker 24 horas por dia, que se dedicam durante todo ano a tirar seus sonhos de criança do papel. Ter algo desse nível era impossível há apenas 10 anos atrás, e hoje conseguimos entregar o melhor programa de educação em hacking do mundo. O melhor dia para começar sempre foi HOJE. Saiba mais...