Pesquisadores da SonarSource descobriram que aproximadamente 1.450 instâncias do pfSense, um popular software de firewall e roteador de código aberto, estão vulneráveis a falhas de injeção de comando e cross-site scripting (XSS).

Se combinadas, essas vulnerabilidades podem permitir que atacantes realizem execução remota de código nos dispositivos afetados. As falhas, identificadas nas versões pfSense 2.7.0 e anteriores, bem como no pfSense Plus 23.05.01 e anteriores, são rastreadas como CVE-2023-42325 (XSS), CVE-2023-42327 (XSS) e CVE-2023-42326 (injeção de comando).

A vulnerabilidade de injeção de comando, que recebeu uma pontuação CVSS de 8.8, é particularmente grave, pois surge da construção de comandos shell a partir de dados fornecidos pelo usuário para configurar interfaces de rede sem validação adequada.

A falha afeta o parâmetro de interface de rede “gifif”, que não é verificado quanto a valores seguros, permitindo que atores mal-intencionados injetem comandos adicionais no parâmetro, levando à execução deles com privilégios de root.

Para que o exploit funcione, o atacante precisa ter acesso a uma conta com permissões de edição de interface, daí a necessidade de encadear as falhas para um ataque mais poderoso. As falhas XSS refletidas requerem ação do usuário do lado da vítima para funcionar, enquanto a falha de injeção de comando permite que atacantes executem JavaScript malicioso no navegador de um usuário autenticado para obter controle sobre sua sessão pfSense.

Resultados de varredura do Shodan compartilhados pelos pesquisadores, mostram que, das 1.569 instâncias do pfSense expostas na internet, 42 usam o pfSense Plus 23.09 e outras 77 executam o pfSense Community Edition 2.7.1.

Isso deixa 1.450 instâncias (92,4%), que são diretamente descobertas pelo Shodan, vulneráveis às falhas mencionadas. Um atacante com acesso ao pfSense operando com privilégios de alto nível pode facilmente causar violações de dados, acessar recursos internos sensíveis e mover-se lateralmente dentro da rede comprometida.