pfsense和敏感性
来自IHTeam的安全研究人员发现了PFSense防火墙技术的插件严重脆弱性。
默认情况下未安装受影响的Pfblockerng插件,无论如何,问题是通过6月发布的软件更新解决的。
据IHTeam称,这同样同样如此,因为基本缺陷创建了未经验证的远程代码执行(RCE)作为受影响安装的根风险。PFSENSE PFBLOCKERNG漏洞被跟踪为CVE-2022-31814。
根本原因分析
PFSENSE是基于FreeBSD的防火墙/路由器软件发行。这开源基于基于网络的防火墙技术可以安装在裸金属或虚拟设备上。
Pfblockerng是PFSense中可用的插件组件,可促进整个IP范围的允许上市或拒绝上市。研究人员说,它通常被用来阻止整个国家与运行PFSense的网络进行通信,他们指出了一些特别关注该问题的因素。
“脆弱性是远程命令执行从未经验证的角度来利用,最重要的是,Web服务器正在以根特权运行。”beplay体育能用吗每日swbeplay2018官网ig。
重要的是,漏洞仅限于默认情况下未安装的PFSENSE插件。
IHTeam说:“很难说如果不积极爬行每个裸露的系统,有多少系统受到影响。”
因此,对于肖丹来说,周围有互联网上的27,000台裸露的PFSense机器。这不应被视为易受伤害系统数量的任何指示,因为许多人不会运行受影响的pfblockerng插件,而没有考虑到自软件已更新以来,甚至可能已经修补了脆弱的安装。
响应来自的查询每日swbeplay2018官网igPfblockerng的开发人员说:“唯一受影响的版本是2.1.4_26及以下版本。这已经修补,可以在PKG Manager中升级。pfblockerng-devel不受影响,是推荐使用的版本。”
实际影响
分发PFSENSE防火墙的Netgate响应了相关查询:“他们(研究人员]发现的问题是在pfblockerng软件包中,但已经在pfblockerng-devel(最新的,最新的剪切版本)中解决了,,这是软件包维护者建议每个人都使用的版本。”
Netgate表示,要使问题暴露为“需要在防火墙上访问Web服务器(它绝不应在WAN上打开,并且在配置最佳实践时通常在内部受到限制),尽管它具有极低的实际实beplay体育能用吗际影响理论上的高分。”
Ihteam说了开发人员仍在运输并允许用户在2.x分支和3.x分支(-Development One)之间安装。
研究人员补充说:“误解很容易解决,它们只会从可用的插件列表中删除2.x分支。”
在对产品的独立安全评估中,IHTeam遇到了Pfblockerng中的漏洞。该问题的技术文章已在iHteam博客文章星期一(9月5日)。
DEV课程
IHTeam的一名研究人员不愿透露姓名每日swbeplay2018官网ig该错误的特征为其他软件开发人员提供了课程。
研究人员解释说:“避免漏洞,开发人员在处理用户输入时应格外小心(不仅通过直接得到和邮政请求,以及通过请求标题中可能通过的输入,例如饼干,,,,主持人或者用户代理)。
“在传递给应用程序之前,应仔细分析和消毒所有用户输入。这对于其他类型的攻击也有效,例如跨站点脚本(XSS)或SQL注入,不仅用于命令执行。”
