Die Open Source-Firewall pfSense, eine beliebte Wahl für Unternehmen und Privatanwender, weist derzeit eine schwerwiegende Schwachstelle auf. Cyberkriminelle können diese Schwachstellen ausnutzen, um eigenen Code auf die Firewall zu übertragen. Die jüngsten Updates adressieren diese Sicherheitslücken, jedoch ist es unerlässlich, dass Nutzer diese zeitnah installieren, um sich vor potenziellen Angriffen zu schützen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat bereits vor den Risiken gewarnt.
Aktuelle Schwachstellen und Updates für pfSense
Wer pfSense im Unternehmensbereich oder zu Hause einsetzt, sollte dringend die aktuellen Updates installieren. Diese schließen vier Sicherheitslücken in der Weboberfläche, die es Angreifern ermöglichen, eigenen Code auf die Firewall zu übertragen. Durch die Installation der Updates können potenzielle Angriffe, die das Ausführen von JavaScript- und PHP-Code ermöglichen, verhindert werden.
XSS-Schwachstelle bei pfSense
Eine besonders gravierende Sicherheitslücke ist die sogenannte XSS-Schwachstelle (Cross-Site Scripting). Diese ermöglicht es Angreifern, JavaScript- und PHP-Code zu übertragen. Die Schwachstelle „XSS vulnerability in vendor files used by the WebGUI“ betrifft sowohl die pfSense Plus Software-Versionen bis einschließlich 23.09.1 als auch die pfSense Community Edition (CE) bis Version 2.7.2. Die Sicherheitsupdates, pfSense Plus Version 24.03 und pfSense CE Version 2.8.0, wurden bereits am 16. Februar 2024 veröffentlicht, um diese Lücke zu schließen.
Detailierte Beschreibung der XSS-Schwachstelle
Die identifizierte XSS-Schwachstelle liegt in den Unit-Testdateien der jquery-treegrid-Bibliothek, die von der grafischen Benutzeroberfläche (GUI) der pfSense-Software zur Anzeige des Disks-Widgets auf dem Dashboard verwendet wird. Diese Bibliothek enthält eine bekannte XSS-Schwachstelle innerhalb der mitgelieferten Unit-Test-Bibliothek (QUnit).
Durch diese Schwachstelle kann bösartiger JavaScript-Code im Browser des Nutzers ausgeführt werden, was zur Kompromittierung von Sitzungscookies oder anderen Sitzungsinformationen führen kann. Da die betroffenen Bibliotheksdateien auch ohne Anmeldung an der GUI zugänglich sind, reicht ein Netzwerkzugang zum Webserver aus, um die Schwachstelle auszunutzen.
Mögliche Gegenmaßnahmen
Um das Risiko zu minimieren, sollten folgende Dateien und Verzeichnisse entfernt werden:
1. Entfernen Sie die folgenden Dateien und Verzeichnisse:
- /usr/local/www/vendor/jquery-treegrid/test.html
- /usr/local/www/vendor/jquery-treegrid/tests/
- /usr/local/www/vendor/jquery-treegrid/index.html
2. Beschränken Sie den Zugriff auf den GUI-Webdienst:
Sichern Sie den Zugriff auf den GUI-Webdienst, indem Sie sicherstellen, dass er nur von vertrauenswürdigen Verwaltungshosts und/oder Netzwerken aus erreichbar ist, idealerweise nicht aus dem Internet.
Durch diese Maßnahmen können potenzielle Angriffe über die identifizierte XSS-Schwachstelle erheblich erschwert oder sogar vollständig verhindert werden. Es ist von größter Bedeutung, dass Unternehmen und Privatanwender diese Sicherheitsupdates so schnell wie möglich implementieren, um ihre Systeme vor potenziellen Angriffen zu schützen und die Sicherheit ihrer Daten zu gewährleisten.