-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA512 ##################################################### ## N C S C ~ B E V E I L I G I N G S A D V I E S ## ##################################################### Titel : Kwetsbaarheid ontdekt in pfSense pfBlockerNG Advisory ID : NCSC-2022-0791 Versie : 1.00 Kans : medium CVE ID : CVE-2022-40624 (Details over de kwetsbaarheden kunt u vinden op de Mitre website: https://cve.mitre.org/cve/) Schade : high (Remote) code execution (Administrator/Root rechten) Uitgiftedatum : 20221221 Toepassing : pfSense pfBlockerNG Versie(s) : 2.1.4_27 Platform(s) : Beschrijving Onderzoekers hebben een kwetsbaarheid ontdekt in de pfBlockerNG package van pfSense. Een kwaadwillende kan de kwetsbaarheid misbruiken om willekeurige OS-commando's uit te voeren op het kwetsbare systeem, wanneer de kwaadwillende toegang heeft tot de webconsole van pfSense. Het is goed gebruik een dergelijke console niet publiek toegankelijk te hebben. pfBlockerNG is een additioneel package van pfSense en wordt niet standaard geïnstalleerd. Echter, vanwege de toegevoegde functionaliteiten in verband met filtering, is het aannemelijk dat dit package door beheer geïmplementeerd wordt. Onderzoekers hebben Proof-of-Concept-code publiek gemaakt, waarmee de kwetsbaarheid kan worden aangetoond. Mogelijke oplossingen Op dit moment is nog geen update beschikbaar om de kwetsbaarheid te verhelpen. De kwetsbaarheid kan worden misbruikt via de webconsole van pfSense. Toegang tot deze webconsole dient zo veel mogelijk te worden beperkt tot vertrouwde gebruikers en infrastructuur. Wanneer de update beschikbaar komt, is deze te verkrijgen via de package manager van pfSense. Voor meer informatie zie: https://github.com/advisories/GHSA-crg2-7qxv-74jh Vrijwaringsverklaring Door gebruik van deze security advisory gaat u akkoord met de navolgende voorwaarden. Ondanks dat het NCSC de grootst mogelijke zorg heeft betracht bij de samenstelling van dit beveiligingsadvies, kan het NCSC niet instaan voor de volledigheid, juistheid of (voortdurende) actualiteit van dit beveiligingsadvies. De informatie in dit beveiligingsadvies is uitsluitend bedoeld als algemene informatie voor professionele partijen. Aan de informatie in dit beveiligingsadvies kunnen geen rechten worden ontleend. Het NCSC en de Staat zijn niet aansprakelijk voor enige schade ten gevolge van het gebruik of de onmogelijkheid van het gebruik van dit beveiligingsadvies, waaronder begrepen schade ten gevolge van de onjuistheid of onvolledigheid van de informatie in dit beveiligingsadvies. Op dit beveiligingsadvies is Nederlands recht van toepassing. Alle geschillen in verband met en/of voortvloeiend uit dit beveiligingsadvies zullen worden voorgelegd aan de exclusief bevoegde rechter te Den Haag. Deze rechtskeuze geldt tevens voor de voorzieningenrechter in kort geding. -----BEGIN PGP SIGNATURE----- Version: Encryption Desktop 10.4.2 (Build 1298) Charset: utf-8 wsDVAwUBY6MZaRypWqw/ZiuAAQqJjgv+L3k6GJFhOwjWxAcohUJFnsPNYO97Yrhp QThsZ/WLKkMiP5kWlY2G+pluXXfba2NhKdmkTxPuD+9qKNPwwLcS/V39nek+B8jZ E45rIUW/r38eLVfB6Vg4vGm6bazWcnAlu1PYfRSKym/Nb8uCjIHEwanmG3mmwQ7g jJ6ZrNYd0rh/3J1DngmlobyzfWNrmiKIusgxDu9K1ZfFMXOt4bHrE4x/D6AkyocU /jaLSNyScT9M5YPn4z4dFjJsrckHv/+NP430+vIaTrNd39M1OjG3XiiTTWBP97lK SyeWokyB/GjpcCLhBaq/1S+4RN4F6524UQEpjwHUn1DdbC9LiQWeAVuvR+pW8BwQ rNhpwD9NgWf9qG+hcOXHCzPLzbxEHB32a67zkP8F99vox7Ycs1lZ0l5zVcZ2WSNh xje0h01dd2uWwLZzg1pVjDAMKf7sPsofU7GdBnOcHswzBTwmtsvsuvuGa9z9akmP WXOxS9kiPZTJ93UWWsememG+8dwBM+/4 =KYq8 -----END PGP SIGNATURE-----