Derzeit gibt es eine Schwachstelle bei der beliebten Open Source-Firewall pfSense. Über die Schwachstellen können Cyberkriminelle eigenen Code auf die Firewall übertragen. Es gibt bereits Updates für die Lücken.
Wer die Open Source-FirewallpfSense im Unternehmen oder zu Hause einsetzt, sollte die aktuellen Updates installieren. Diese schließen vier Sicherheitslücken in der Weboberfläche, mit denen Angreifer eigenen Code auf die Firewall übertragen können. Auch das BSI warnt vor den Lücken.
XSS-Schwachstelle bei pfSense
Die Angriffe ermöglichen das Übertragen von JavaScript- und PHP-Code. Nach der Installation der aktuellen Updates sind diese Angriffe nicht mehr möglich. Besonders gravierend ist die Lücke „XSS „vulnerability in vendor files used by the WebGUI“.
Die XSS-Schwachstelle (Cross-Site Scripting) liegt in den von der WebGUI genutzten Vendor-Dateien vor. Betroffen sind sowohl die pfSense Plus Software-Versionen bis einschließlich 23.09.1 als auch die pfSense Community Edition (CE) bis Version 2.7.2. Die Korrekturen wurden bereits am 16. Februar 2024 umgesetzt, mit den Updates pfSense Plus auf Version 24.03 und pfSense CE auf Version 2.8.0.
Die identifizierte XSS-Schwachstelle befindet sich in den Unit-Testdateien der jquery-treegrid-Bibliothek, die in der GUI (Graphical User Interface) der pfSense-Software zur Anzeige des Disks-Widgets auf dem Dashboard verwendet wird. Diese Bibliothek enthält eine bekannte XSS-Schwachstelle innerhalb der mitgelieferten Unit-Test-Bibliothek (QUnit).
Durch diese Schwachstelle könnte bösartiger JavaScript-Code im Browser des Nutzers ausgeführt werden, was zur Kompromittierung von Sitzungscookies oder anderen Sitzungsinformationen führen kann. Da die betroffenen Bibliotheksdateien auch ohne Anmeldung an der GUI zugänglich sind, reicht ein Netzwerkzugang zum Webserver, um die Schwachstelle ausnutzen zu können.
Mögliche Gegenmaßnahmen
Um das Risiko zu mindern, sollten die folgenden Dateien und Verzeichnisse entfernt werden:
Zusätzlich sollte sichergestellt werden, dass der Zugriff auf den GUI-Webdienst nur von vertrauenswürdigen Verwaltungshosts und/oder Netzwerken aus möglich ist, also idealerweise nicht aus dem Internet.
(ID:50018786)
Stand vom 30.10.2020
Es ist für uns eine Selbstverständlichkeit, dass wir verantwortungsvoll mit Ihren personenbezogenen Daten umgehen. Sofern wir personenbezogene Daten von Ihnen erheben, verarbeiten wir diese unter Beachtung der geltenden Datenschutzvorschriften. Detaillierte Informationen finden Sie in unserer Datenschutzerklärung.
Einwilligung in die Verwendung von Daten zu Werbezwecken
Ich bin damit einverstanden, dass die Vogel IT-Medien GmbH, Max-Josef-Metzger-Straße 21, 86157 Augsburg, einschließlich aller mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen (im weiteren: Vogel Communications Group) meine E-Mail-Adresse für die Zusendung von redaktionellen Newslettern nutzt. Auflistungen der jeweils zugehörigen Unternehmen können hier abgerufen werden.
Der Newsletterinhalt erstreckt sich dabei auf Produkte und Dienstleistungen aller zuvor genannten Unternehmen, darunter beispielsweise Fachzeitschriften und Fachbücher, Veranstaltungen und Messen sowie veranstaltungsbezogene Produkte und Dienstleistungen, Print- und Digital-Mediaangebote und Services wie weitere (redaktionelle) Newsletter, Gewinnspiele, Lead-Kampagnen, Marktforschung im Online- und Offline-Bereich, fachspezifische Webportale und E-Learning-Angebote. Wenn auch meine persönliche Telefonnummer erhoben wurde, darf diese für die Unterbreitung von Angeboten der vorgenannten Produkte und Dienstleistungen der vorgenannten Unternehmen und Marktforschung genutzt werden.
Falls ich im Internet auf Portalen der Vogel Communications Group einschließlich deren mit ihr im Sinne der §§ 15 ff. AktG verbundenen Unternehmen geschützte Inhalte abrufe, muss ich mich mit weiteren Daten für den Zugang zu diesen Inhalten registrieren. Im Gegenzug für diesen gebührenlosen Zugang zu redaktionellen Inhalten dürfen meine Daten im Sinne dieser Einwilligung für die hier genannten Zwecke verwendet werden.
Recht auf Widerruf
Mir ist bewusst, dass ich diese Einwilligung jederzeit für die Zukunft widerrufen kann. Durch meinen Widerruf wird die Rechtmäßigkeit der aufgrund meiner Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Um meinen Widerruf zu erklären, kann ich als eine Möglichkeit das unter https://support.vogel.de abrufbare Kontaktformular nutzen. Sofern ich einzelne von mir abonnierte Newsletter nicht mehr erhalten möchte, kann ich darüber hinaus auch den am Ende eines Newsletters eingebundenen Abmeldelink anklicken. Weitere Informationen zu meinem Widerrufsrecht und dessen Ausübung sowie zu den Folgen meines Widerrufs finde ich in der Datenschutzerklärung, Abschnitt Redaktionelle Newsletter.