近日，研究者發現全球超過1000臺存在嚴重漏洞的pfSense設備在線暴露，面臨攻擊風險。

pfSense是Netgate推出的一款流行的開源防火墻解決方案，基于FreeBSD，可安裝于實體電腦或虛擬機，能夠在網絡中充當獨立的防火墻及路由器。Netgate提供pfSense Plus（付費版）和pfSense CE（免費社區版）兩個版本。

由于支持高度定制且部署靈活，pfSense在企業市場非常受歡迎，因為它可快速滿足特定需求，提供昂貴的商業防火墻產品中常見的基礎功能，且易于使用（提供web配置管理界面），經常被企業作為一種經濟高效的防火墻解決方案使用。

三個漏洞可被組合利用執行任意命令

11月中旬，SonarSource的安全研究人員披露了pfSense CE 2.7.0及其更早版本以及pfSensePlus 23.05.01及其更早版本的三個漏洞（兩個跨站腳本和一個命令注入漏洞），漏洞CVE編號分別為：CVE-2023-42325 (XSS)、CVE-2023-42327 (XSS)和CVE-2023-42326（命令注入）。

近日，研究人員用Shodan掃描發現全球有1450個在線暴露的pfSense實例仍然存在上述命令注入和跨站腳本漏洞，攻擊者可以組合利用這些漏洞，在設備上執行遠程代碼。

暴露實例的地域分布如下：

• 巴西358個
• 美國196個
• 俄羅斯92個
• 法國87個
• 馬來西亞54個
• 意大利52個
• 德國40個
• 越南39個
• 中國臺灣37個
• 印度尼西亞36個

在披露的三個漏洞中，XSS漏洞需要用戶操作才能起作用，命令注入漏洞更為嚴重（CVSS評分8.8）。該漏洞存在于pfSense的Web UI中，因為其用于配置網絡接口的shell命令未應用適當的安全驗證。攻擊者可在“gifif”網絡接口參數中注入其他命令，以root權限執行任意命令。

為了使此漏洞發揮作用，攻擊者還需要訪問具有界面編輯權限的帳戶，因此需要將跨站腳本漏洞組合在一起實施攻擊。

兩個跨站腳本漏洞（CVE-2023-42325、CVE-2023-42327）可用于在經過身份驗證的用戶瀏覽器中執行惡意JavaScript，以獲取對其pfSense會話的控制權。

九成暴露實例仍未修復漏洞

pfSense的供應商Netgate于2023年7月3日收到三個漏洞的報告，并于11月6日(pfSensePlus 23.09)和11月16日(pfSense CE 2.7.1)發布了解決這些漏洞的安全更新。

然而，在Netgate提供補丁一個月后，仍有九成以上的pfSense暴露實例容易受到攻擊。

SonarSource的研究人員提供的Shodan掃描結果顯示，在1569個暴露于互聯網的pfSense實例中，1450個實例(92.4%)容易受到上述漏洞的影響，其中42個運行pfSense Plus 23.09，另外77個運行pfSense CE 2.7.1。

研究人員指出，存在漏洞的實例暴露并不意味著會立即遭到攻擊（因為攻擊者首先需要針對存在XSS漏洞的受害者），但這種暴露會給攻擊者提供一個重要的攻擊面。

雖然易受攻擊端點的數量僅占全球pfSense部署的一小部分，但考慮到大型企業經常使用該軟件，因此目前的狀況特別危險。

能夠獲得pfSense高級訪問權限的攻擊者可以輕松造成數據泄露、訪問企業敏感內部資源并在受感染網絡內橫向移動。