15
Cyberkriminelle können pfSense übernehmen
Derzeit gibt es eine Schwachstelle bei der beliebten Open Source-Firewall pfSense. Über die Schwachstellen können Cyberkriminelle eigenen Code auf die Firewall übertragen. Es gibt bereits Updates für die Lücken.
...
XSS-Schwachstelle bei pfSense
Die Angriffe ermöglichen das Übertragen von JavaScript- und PHP-Code. Nach der Installation der aktuellen Updates sind diese Angriffe nicht mehr möglich. Besonders gravierend ist die Lücke „XSS „vulnerability in vendor files used by the WebGUI“.
Quellen: security-insider.de...
XSS-Schwachstelle bei pfSense
Die Angriffe ermöglichen das Übertragen von JavaScript- und PHP-Code. Nach der Installation der aktuellen Updates sind diese Angriffe nicht mehr möglich. Besonders gravierend ist die Lücke „XSS „vulnerability in vendor files used by the WebGUI“.
Die Redaktion schätzt den Schweregrad der Lücke auf 9,6 (kritisch), das BSI kommt in seiner Warnmeldung zu einem etwas konservativeren Wert von 8,8 (hoch).
Quelle: heise.deUnd da sag noch mal einer, OpenSource sei besser denn Systeme der großen Hersteller wie Cisco, FortiNet, PaloAlto, Sophos, ...
Gruß
em-pie
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 34048049293
Url: https://administrator.de/contentid/34048049293
Printed on: May 20, 2024 at 14:05 o'clock
15 Comments
Latest comment
Wer die Router-Web-GUI freiwillig allen (auch intern nicht nur Verwaltungsstationen) zugänglich macht dem ist eh nicht mehr zu helfen 🤐.
5
Sehe ich das richtig, das nur die Web GUI betroffen ist? Die ist ja vermutlich nicht aus dem Internet erreichbar...
Zitat von @hempel:
Wer die Router-Web-GUI freiwillig allen zugänglich macht dem ist eh nicht mehr zu helfen 🤐.
Wer die Router-Web-GUI freiwillig allen zugänglich macht dem ist eh nicht mehr zu helfen 🤐.
ganz meine Meinung - vor allem weil per default nicht möglich...
1
Wer die Web-GUIs freiwillig allen zugreifbar macht dem ist eh nicht mehr zu helfen
Wenn es nur die Web Gui wäre. Diese könnte auch von innen angegriffen werden. Nun müsste man alle Eventualitäten berücksichtigen, alle Sicherheitsgefahren in allen Schnittstellen, Funktionen, Diensten usw. dicht machen. Als Ergebnis hast du dann ein Inselsystem auf den niemand mehr drauf kommt und keine wirkliche Aufgabe mehr hat. Quasi ein Kaffentassenwärmer oder Türstopper
Moin,
Aber es gibt ja auch interne Bedrohungen wo viele vermutlich das Webinterface in den VLANs nicht abgeschaltet haben. Da muss dann jeder selber abwägen wie Sicherheit, Aufwand und Handelbarkeit verteilt werden.
Besonders im KMU-Umfeld bin ich ja froh wenn ich irgendwas sehe wo kein Any-Any eingerichtet ist.
Stefan
Zitat von @hempel:
Wer die Router-Web-GUI freiwillig allen zugänglich macht dem ist eh nicht mehr zu helfen 🤐.
Ein +1 von mirWer die Router-Web-GUI freiwillig allen zugänglich macht dem ist eh nicht mehr zu helfen 🤐.
Aber es gibt ja auch interne Bedrohungen wo viele vermutlich das Webinterface in den VLANs nicht abgeschaltet haben. Da muss dann jeder selber abwägen wie Sicherheit, Aufwand und Handelbarkeit verteilt werden.
Besonders im KMU-Umfeld bin ich ja froh wenn ich irgendwas sehe wo kein Any-Any eingerichtet ist.
Stefan
Zitat von @StefanKittel:
Moin,
Aber es gibt ja auch interne Bedrohungen wo viele vermutlich das Webinterface in den VLANs nicht abgeschaltet haben. Da muss dann jeder selber abwägen wie Sicherheit, Aufwand und Handelbarkeit verteilt werden.
Eben, deswegen gehört auch intern der Zugriff nur auf Verwaltungsstationen eingeschränkt.Moin,
Aber es gibt ja auch interne Bedrohungen wo viele vermutlich das Webinterface in den VLANs nicht abgeschaltet haben. Da muss dann jeder selber abwägen wie Sicherheit, Aufwand und Handelbarkeit verteilt werden.
Oma Gretes Rechner hat nix auf dem Router verloren 😁
Aber Router die keine vernünftige CLI haben kommen mir per se eh nicht ins Haus. Da Bau ich mir dann doch lieber eine eigene Kiste als Firewall und habe die volle Kontrolle und nicht zig Funktionen die ich nicht nutze oder brauche und potentielle Schwachstellen sein könnten.
Zitat von @StefanKittel:
Besonders im KMU-Umfeld bin ich ja froh wenn ich irgendwas sehe wo kein Any-Any eingerichtet ist.
Besonders im KMU-Umfeld bin ich ja froh wenn ich irgendwas sehe wo kein Any-Any eingerichtet ist.
Aber damit funktioniert doch sofort alles ;)
1
Bei der Any-Any Regel gehört auch eine Anti-Lockout Regel (parallel) dazu
Und da sag noch mal einer, OpenSource sei besser denn Systeme der großen Hersteller wie Cisco, FortiNet, PaloAlto, Sophos, ...
Alter Finne! Solch ein alberner Satz von einem L5-Admin.Viele Grüße, commodity
3
Zitat von @commodity:
Viele Grüße, commodity
Und da sag noch mal einer, OpenSource sei besser denn Systeme der großen Hersteller wie Cisco, FortiNet, PaloAlto, Sophos, ...
Alter Finne! Solch ein alberner Satz von einem L5-Admin.Viele Grüße, commodity
Du hast mich missverstanden.
Hier im Board wird oft suggeriert "Selber Schuld, wenn ihr auf die großen Hersteller setzt. OpenSource ist immer besser".
Ich belächle solche Aussagen genauso wie du und wollte dies nur aufgreifen...
Ich belächle solche Aussagen genauso wie du und wollte dies nur aufgreifen...
Es wirkte aber schon etwas wie "gloating"...aber stimme dir zu dass man Generalisierungen in unserer Branche generell vermeiden sollte, so schwer es einem manchmal fallen mag.
Bei all den Problemen habe ich persönlich trotzdem noch einen pro open source bias...
Ich belächle solche Aussagen genauso wie du und wollte dies nur aufgreifen...
Auch in dieser Aussage manifestiert sich (leider) ein beachtliches Fehlverständnis von Sinn und Nutzen von OpenSource.Unter Sicherheitsaspekten gilt in der Tat:
OpenSource ist immer besser
Nur ist die Software deswegen natürlich nicht unendlich sicher oder komfortabel oder am innovationsstärksten.
Das sind aber nur begrenzt sicherheitsrelevante Aspekte. Nicht zu vergessen, dass "die großen" Hersteller im Regelfall auf Linux aufbauen und viele weitere OpenSource Programmteile einsetzen und nur mehr oder weniger ClosedSource drum herum backen.
Viele Grüße, commodity
1
Achherje, heute hab ich aber ein richtiges Talent, meine Gedanken in Worte zu fassen 
Vorweg: OpenSource stehe ich genauso skeptisch gegenüber wie ClosedSource. Eingesetzt wird das, was den ANwendungszweck am besten erfüllt (Sicherheit ist aber auch ein Anwendungsaspekt). Wenn es hinterher OpenSource ist, top. Aber nicht immer gibt es für alle use Cases OpenSource-Lösungen.
Bei OpenSource haben es natürlich alle leichter, in den Code reinzuschauen und Verbesserungen an den Entwickler heranzutragen (selbst die Lücken zu schließen und die Version zu pushen wäre IMHO fatal. Wer eine Lücke selbst schließen kann hat auch die Rechte, andere Lücken hineinzuprogrammieren - sofern keine ReviewProzesse etabliert sind).
Das bedeutet aber auch, dass die bösen Burschen die Funktionalität leichter ermitteln können und vielleicht schneller Schlupftüren finden können.
ClosedSource macht es für beiden Seiten natürlich schwieriger, das jeweilige Vorhaben zu verfolgen.
Obige Aussage von mir sollte im Kern nur eines widerspiegeln:
OpenSource ist nicht weniger von Lücken betroffen denn ClosedSource
Vorweg: OpenSource stehe ich genauso skeptisch gegenüber wie ClosedSource. Eingesetzt wird das, was den ANwendungszweck am besten erfüllt (Sicherheit ist aber auch ein Anwendungsaspekt). Wenn es hinterher OpenSource ist, top. Aber nicht immer gibt es für alle use Cases OpenSource-Lösungen.
Unter Sicherheitsaspekten gilt in der Tat:
OpenSource ist immer besser
Ja und nein.OpenSource ist immer besser
Bei OpenSource haben es natürlich alle leichter, in den Code reinzuschauen und Verbesserungen an den Entwickler heranzutragen (selbst die Lücken zu schließen und die Version zu pushen wäre IMHO fatal. Wer eine Lücke selbst schließen kann hat auch die Rechte, andere Lücken hineinzuprogrammieren - sofern keine ReviewProzesse etabliert sind).
Das bedeutet aber auch, dass die bösen Burschen die Funktionalität leichter ermitteln können und vielleicht schneller Schlupftüren finden können.
ClosedSource macht es für beiden Seiten natürlich schwieriger, das jeweilige Vorhaben zu verfolgen.
Obige Aussage von mir sollte im Kern nur eines widerspiegeln:
OpenSource ist nicht weniger von Lücken betroffen denn ClosedSource
Nicht zu vergessen, dass "die großen" Hersteller im Regelfall auf Linux aufbauen und viele weitere OpenSource Programmteile einsetzen und nur mehr oder weniger ClosedSource drum herum backen.
D'accord
Naja....die oben genannte Lücke ist jetzt nicht so ganz neu. Und auch bei der pfSense kommst Du nicht umhin Patches und Updates zeitnah einzuspielen.
Auffällig ist nur, dass manch großer Hersteller (Cisco z.B.) auffällig oft in den Berichten zu Sicherheitslücken auftaucht, während die pfSense jetzt das erste Mal wirklich aufgefallen ist.
Just my 2 Cents.
Auffällig ist nur, dass manch großer Hersteller (Cisco z.B.) auffällig oft in den Berichten zu Sicherheitslücken auftaucht, während die pfSense jetzt das erste Mal wirklich aufgefallen ist.
Just my 2 Cents.
3
Was ist schon ohne Fehler in diesem Universum? Der Mensch ist auch nur ein unvollkommenes Produkt mit diversen Fehlern, der sich selbst noch nicht mal ganz verstanden hat. Somit liegt es in der Natur der Sache, hauptsache ist doch das wir aus Fehlern lernen 😁. Ist heute aber leider immer noch keine Selbstverständlichkeit wie man vielfach sieht...
