Açık Kaynaklı Güvenlik Duvarı pfsense Uzaktan Kod Yürütme Saldırılarına Karşı Savunmasız

Popüler bir açık kaynaklı güvenlik duvarı yazılımı olan pfSense’de, uzaktan kod yürütme (RCE) saldırılarına olanak sağlayan bir güvenlik açığı tespit edildi.

CVE-2022-31814 olarak izlenen güvenlik açığı, özellikle pfBlockerNG paketini kullanan pfSense kurulumlarındaki potansiyel riskleri ortaya koyuyor.

pfSense, kurumsal düzeyde özellikler ve güvenlik sunan, yaygın olarak kullanılan, FreeBSD tabanlı bir güvenlik duvarı ve yönlendirici yazılımıdır. Esnekliği ve açık kaynaklı yapısıyla ünlüdür ve kullanıcıların bir web arayüzü aracılığıyla sağlam ağ savunmalarını yapılandırmasına olanak tanır.

Güvenlik Açığının Belirlenmesi

Laburity raporuna göre, güvenlik açığı bir pfSense uygulamasının rutin güvenlik denetimi sırasında ortaya çıkarıldı. Varsayılan kimlik bilgilerini kullanarak sistemi istismar etmeye yönelik ilk girişimler başarısız oldu.

Ancak daha detaylı incelemeler sonucunda pfBlockerNG paketinin kurulu olduğu ortaya çıktı ve araştırmacılar bu pakete karşı bilinen istismarları test etmeye yöneldi.

Başlangıçta istismar girişimleri başarısız oldu ve kök nedene daha derinlemesine bir dalış yapılmasını gerektirdi. Araştırmacılar, sistemin RCE’ye karşı savunmasız olmasına rağmen, mevcut istismar betiklerinin hedef makineye yüklenen Python ve PHP sürümlerindeki tutarsızlıklar nedeniyle başarısız olduğunu keşfetti.

How to Build a Security Framework With Limited Resources IT Security Team (PDF) - Free Guide

Hata ayıklama süreci, exploit’in başarısızlığının exploit betiğinin gerektirdiği hedef sistemde Python 3.8’in bulunmamasından kaynaklandığını ortaya koydu. Ek olarak, PHP kodunda betikte değişiklik yapılmasını gerektiren sorunlar belirlendi.

Araştırmacılar, exploit’i Python 2 ile çalışacak şekilde uyarlayarak ve PHP kodunu ayarlayarak hedef sunucuda komutları başarıyla yürüttüler. Kaynak kodundaki exploit şu şekilde görünüyor:

"Host":"' *; echo 'PD8kYT1mb3BlbigiL3Vzci9sb2NhbC93d3cvc3lzdGVtX2FkdmFuY2VkX2NvbnRyb2wucGhwIiwidyIpIG9yIGRpZSgpOyR0PSc8P3BocCBwcmludChwYXNzdGhydSggJF9HRVRbImMiXSkpOz8+Jztmd3JpdGUoJGEsJHQpO2ZjbG9zZSggJGEpOz8+'|python3.8 -m base64 -d | php; '"

Eğer dizeyi base64 ile kodlarsak, değeri şu şekilde elde ederiz:

";fwrite($a,$t);fclose( $a);?>

GitHub’da mevcut olan güncellenmiş exploit, Python ve PHP sürümlerindeki farklılıkları hesaba katmak için birden fazla yük kullanıyor ve böylece farklı ortamlarda daha yüksek bir başarı oranı sağlıyor.

Bu olay, penetrasyon testleri gerçekleştirirken belirli yapılandırmaları ve ortamları anlamanın önemini vurgular. İlk istismarların başarısız olması, güvenlik test metodolojilerinde esneklik ve uyarlanabilirliğe olan ihtiyacı vurgular.

pfSense kullanıcıları için güvenlik yamaları ve topluluk uyarıları konusunda güncel kalmak hayati önem taşır. Düzenli denetimler ve yüklü paketlerin kapsamlı bir şekilde anlaşılması olası güvenlik açıklarını azaltabilir.

Açık kaynaklı yazılımlar ağ güvenliğinde hayati bir rol oynadığından, dikkatli olmak ve topluluk odaklı güvenlik çalışmalarına katkıda bulunmak büyük önem taşımaktadır.

CVE-2022-31814’ün keşfi, siber güvenlik tehditlerinin değişen doğasını ve proaktif savunma stratejilerine olan sürekli ihtiyacı hatırlatıyor.

Are you from SOC and DFIR Teams? – Analyse Malware Incidents & get live Access with ANY.RUN -> Free Access