em-pie
Goto Top

Cyberkriminelle können pfSense übernehmen

Derzeit gibt es eine Schwachstelle bei der beliebten Open Source-Firewall pfSense. Über die Schwachstellen können Cyberkriminelle eigenen Code auf die Firewall übertragen. Es gibt bereits Updates für die Lücken.
...
XSS-Schwachstelle bei pfSense
Die Angriffe ermöglichen das Übertragen von JavaScript- und PHP-Code. Nach der Installation der aktuellen Updates sind diese Angriffe nicht mehr möglich. Besonders gravierend ist die Lücke „XSS „vulnerability in vendor files used by the WebGUI“.
Quellen: security-insider.de

Die Redaktion schätzt den Schweregrad der Lücke auf 9,6 (kritisch), das BSI kommt in seiner Warnmeldung zu einem etwas konservativeren Wert von 8,8 (hoch).
Quelle: heise.de

Und da sag noch mal einer, OpenSource sei besser denn Systeme der großen Hersteller wie Cisco, FortiNet, PaloAlto, Sophos, ...

Gruß
em-pie

Content-Key: 34048049293

Url: https://administrator.de/contentid/34048049293

Printed on: May 20, 2024 at 12:05 o'clock

Member: hempel
hempel May 08, 2024 updated at 07:08:49 (UTC)
Goto Top
Wer die Router-Web-GUI freiwillig allen (auch intern nicht nur Verwaltungsstationen) zugänglich macht dem ist eh nicht mehr zu helfen 🤐.
Member: ukulele-7
ukulele-7 May 08, 2024 at 06:56:54 (UTC)
Goto Top
Sehe ich das richtig, das nur die Web GUI betroffen ist? Die ist ja vermutlich nicht aus dem Internet erreichbar...
Member: Kraemer
Kraemer May 08, 2024 at 06:56:59 (UTC)
Goto Top
Zitat von @hempel:

Wer die Router-Web-GUI freiwillig allen zugänglich macht dem ist eh nicht mehr zu helfen 🤐.

ganz meine Meinung - vor allem weil per default nicht möglich...
Member: NordicMike
NordicMike May 08, 2024 updated at 06:59:31 (UTC)
Goto Top
Wer die Web-GUIs freiwillig allen zugreifbar macht dem ist eh nicht mehr zu helfen

Wenn es nur die Web Gui wäre. Diese könnte auch von innen angegriffen werden. Nun müsste man alle Eventualitäten berücksichtigen, alle Sicherheitsgefahren in allen Schnittstellen, Funktionen, Diensten usw. dicht machen. Als Ergebnis hast du dann ein Inselsystem auf den niemand mehr drauf kommt und keine wirkliche Aufgabe mehr hat. Quasi ein Kaffentassenwärmer oder Türstopper face-smile
Member: StefanKittel
StefanKittel May 08, 2024 at 06:59:34 (UTC)
Goto Top
Moin,

Zitat von @hempel:
Wer die Router-Web-GUI freiwillig allen zugänglich macht dem ist eh nicht mehr zu helfen 🤐.
Ein +1 von mir

Aber es gibt ja auch interne Bedrohungen wo viele vermutlich das Webinterface in den VLANs nicht abgeschaltet haben. Da muss dann jeder selber abwägen wie Sicherheit, Aufwand und Handelbarkeit verteilt werden.

Besonders im KMU-Umfeld bin ich ja froh wenn ich irgendwas sehe wo kein Any-Any eingerichtet ist.

Stefan
Member: hempel
hempel May 08, 2024 updated at 07:08:06 (UTC)
Goto Top
Zitat von @StefanKittel:

Moin,
Aber es gibt ja auch interne Bedrohungen wo viele vermutlich das Webinterface in den VLANs nicht abgeschaltet haben. Da muss dann jeder selber abwägen wie Sicherheit, Aufwand und Handelbarkeit verteilt werden.
Eben, deswegen gehört auch intern der Zugriff nur auf Verwaltungsstationen eingeschränkt.
Oma Gretes Rechner hat nix auf dem Router verloren 😁
Aber Router die keine vernünftige CLI haben kommen mir per se eh nicht ins Haus. Da Bau ich mir dann doch lieber eine eigene Kiste als Firewall und habe die volle Kontrolle und nicht zig Funktionen die ich nicht nutze oder brauche und potentielle Schwachstellen sein könnten.
Member: LauneBaer
LauneBaer May 08, 2024 at 07:05:38 (UTC)
Goto Top
Zitat von @StefanKittel:
Besonders im KMU-Umfeld bin ich ja froh wenn ich irgendwas sehe wo kein Any-Any eingerichtet ist.

Aber damit funktioniert doch sofort alles ;)
Member: NordicMike
NordicMike May 08, 2024 at 07:13:06 (UTC)
Goto Top
Bei der Any-Any Regel gehört auch eine Anti-Lockout Regel (parallel) dazu face-smile
Member: commodity
commodity May 08, 2024 at 08:03:43 (UTC)
Goto Top
Und da sag noch mal einer, OpenSource sei besser denn Systeme der großen Hersteller wie Cisco, FortiNet, PaloAlto, Sophos, ...
Alter Finne! Solch ein alberner Satz von einem L5-Admin.

Viele Grüße, commodity
Member: em-pie
em-pie May 08, 2024 at 08:18:25 (UTC)
Goto Top
Zitat von @commodity:

Und da sag noch mal einer, OpenSource sei besser denn Systeme der großen Hersteller wie Cisco, FortiNet, PaloAlto, Sophos, ...
Alter Finne! Solch ein alberner Satz von einem L5-Admin.
Viele Grüße, commodity

Du hast mich missverstanden.
Hier im Board wird oft suggeriert "Selber Schuld, wenn ihr auf die großen Hersteller setzt. OpenSource ist immer besser".
Ich belächle solche Aussagen genauso wie du und wollte dies nur aufgreifen...
Member: Boomercringe
Boomercringe May 08, 2024 at 08:25:08 (UTC)
Goto Top
Ich belächle solche Aussagen genauso wie du und wollte dies nur aufgreifen...

Es wirkte aber schon etwas wie "gloating"...aber stimme dir zu dass man Generalisierungen in unserer Branche generell vermeiden sollte, so schwer es einem manchmal fallen mag.

Bei all den Problemen habe ich persönlich trotzdem noch einen pro open source bias...
Member: commodity
commodity May 08, 2024 at 08:43:50 (UTC)
Goto Top
Ich belächle solche Aussagen genauso wie du und wollte dies nur aufgreifen...
Auch in dieser Aussage manifestiert sich (leider) ein beachtliches Fehlverständnis von Sinn und Nutzen von OpenSource.

Unter Sicherheitsaspekten gilt in der Tat:
OpenSource ist immer besser
face-smile
Nur ist die Software deswegen natürlich nicht unendlich sicher oder komfortabel oder am innovationsstärksten.
Das sind aber nur begrenzt sicherheitsrelevante Aspekte. Nicht zu vergessen, dass "die großen" Hersteller im Regelfall auf Linux aufbauen und viele weitere OpenSource Programmteile einsetzen und nur mehr oder weniger ClosedSource drum herum backen.

Viele Grüße, commodity
Member: em-pie
em-pie May 08, 2024 at 08:59:32 (UTC)
Goto Top
Achherje, heute hab ich aber ein richtiges Talent, meine Gedanken in Worte zu fassen face-big-smile

Vorweg: OpenSource stehe ich genauso skeptisch gegenüber wie ClosedSource. Eingesetzt wird das, was den ANwendungszweck am besten erfüllt (Sicherheit ist aber auch ein Anwendungsaspekt). Wenn es hinterher OpenSource ist, top. Aber nicht immer gibt es für alle use Cases OpenSource-Lösungen.

Unter Sicherheitsaspekten gilt in der Tat:
OpenSource ist immer besser
face-smile
Ja und nein.
Bei OpenSource haben es natürlich alle leichter, in den Code reinzuschauen und Verbesserungen an den Entwickler heranzutragen (selbst die Lücken zu schließen und die Version zu pushen wäre IMHO fatal. Wer eine Lücke selbst schließen kann hat auch die Rechte, andere Lücken hineinzuprogrammieren - sofern keine ReviewProzesse etabliert sind).
Das bedeutet aber auch, dass die bösen Burschen die Funktionalität leichter ermitteln können und vielleicht schneller Schlupftüren finden können.
ClosedSource macht es für beiden Seiten natürlich schwieriger, das jeweilige Vorhaben zu verfolgen.

Obige Aussage von mir sollte im Kern nur eines widerspiegeln:
OpenSource ist nicht weniger von Lücken betroffen denn ClosedSource


Nicht zu vergessen, dass "die großen" Hersteller im Regelfall auf Linux aufbauen und viele weitere OpenSource Programmteile einsetzen und nur mehr oder weniger ClosedSource drum herum backen.
D'accord
face-smile
Member: Looser27
Looser27 May 08, 2024 at 09:00:14 (UTC)
Goto Top
Naja....die oben genannte Lücke ist jetzt nicht so ganz neu. Und auch bei der pfSense kommst Du nicht umhin Patches und Updates zeitnah einzuspielen.

Auffällig ist nur, dass manch großer Hersteller (Cisco z.B.) auffällig oft in den Berichten zu Sicherheitslücken auftaucht, während die pfSense jetzt das erste Mal wirklich aufgefallen ist.

Just my 2 Cents.
Member: hempel
hempel May 08, 2024 updated at 09:47:57 (UTC)
Goto Top
Was ist schon ohne Fehler in diesem Universum? Der Mensch ist auch nur ein unvollkommenes Produkt mit diversen Fehlern, der sich selbst noch nicht mal ganz verstanden hat. Somit liegt es in der Natur der Sache, hauptsache ist doch das wir aus Fehlern lernen 😁. Ist heute aber leider immer noch keine Selbstverständlichkeit wie man vielfach sieht...