Cross-Site Scripting: Sicherheitslücken in pfSense ermöglichen Admin-Cookieklau

Sicherheitsforscher haben in der Web-Administrationsoberfläche der Open-Source-Firewall pfSense mehrere Sicherheitslücken entdeckt, die "Cross Site Scripting" (XSS), also das Einschleusen von Javascript-Code durch Angreifer, ermöglichen. Zudem können Nutzer mit bestimmten Zugriffsrechten eigenen PHP-Code auf der Firewall ausführen. Das pfSense-Team hat die Lücken sowohl in der Community Edition (CE) als auch in der kommerziellen Variante "pfSense Plus" geflickt und stellt Updates bereit.

In vier Sicherheitsmeldungen beschreibt Netgate, die Firma hinter pfSense und seinen kommerziellen Varianten, drei verschiedene XSS-Lücken und eine "Local File Inclusion" in der Web-GUI der Firewall. Keine der Sicherheitslücken hat eine CVE-ID oder einen CVSS-Punktwert erhalten.

Die gefährlichste Lücke hat pfSense sich mittels eines jQuery-Plugins namens "treegrid" eingefangen. Dieses liefert in seinem Codebaum Dateien mit, die für Unit-Tests gedacht sind, es aber bei pfSense in die an Nutzer ausgelieferte Software geschafft haben. In diesen Skriptdateien – die auch für nicht angemeldete Nutzer mit Netzwerkzugriff auf die Firewall zugänglich sind – werden Parameter nicht ausreichend überprüft. Angreifer könnten über das resultierende Cross-Site-Scripting versuchen, das Admin-Cookie zu klauen oder den Browser des Firewall-Administrators fernzusteuern. Die Redaktion schätzt den Schweregrad der Lücke auf 9,6 (kritisch), das BSI kommt in seiner Warnmeldung zu einem etwas konservativeren Wert von 8,8 (hoch).

Eine weitere, weniger gefährliche XSS-Lücken in der webbasierten Administrationsoberfläche kann nur von angemeldeten Nutzern, die dritte sogar nur von Administratoren der Firewall ausgenutzt werden.

Auch die vierte Sicherheitslücke, die die Inklusion und somit Ausführung beliebiger lokal gespeicherter PHP-Dateien ermöglicht, können nur angemeldete Nutzer ansprechen, die zudem Zugriff auf den in pfSense integrierten DNS-Resolver und auf das Dateisystem der Firewall haben müssen. Sind diese Bedingungen erfüllt, können sie eine PHP-Datei so präparieren, dass pfSense diese ausführt.

Alle vier Sicherheitslücken sind in den pfSense-Plus-Versionen vor 23.09.1 enthalten und mit pfSense Plus 24.03 behoben. Nutzer der "Community Edition" sind betroffen, sofern sie Version 2.7.2 oder früher einsetzen – ein Upgrade auf 2.8.0 behebt die Bugs.

Firewallsoftware unter Dauerbeschuss

Firewallhersteller sehen sich seit Jahren mit massiven Sicherheitslücken konfrontiert, die von spezialisierten Angreifern für weitreichende Attacken ausgenutzt werden. Am gestrigen 24. April meldete Cisco eine Backdoor-Software in seinen ASA-Appliances, in der vorigen Woche war Palo Alto an der Reihe und auch FortiNet-Firewalls hatten kürzlich Probleme mit Admin-Cookieklau.

(cku)