IHTeam的安全研究人员在pfSense防火墙技术的插件中发现了一个严重漏洞。默认情况下未安装受影响的 pfBlockerNG 插件，无论如何，该问题已通过 6 月发布的软件更新解决。根据IHTeam的说法，这也是因为潜在的缺陷造成了未经身份验证的远程代码执行(RCE)作为受影响安装的根风险。pfSense pfBlockerNG漏洞被跟踪为CVE-2022-31814。

pfSense是基于FreeBSD的防火墙/路由器软件发行版。基于开源的网络防火墙技术可以安装在裸机上或作为虚拟设备。

pfBlockerNG是pfSense中可用的插件组件，它将促进整个 IP 范围的允许列表或拒绝列表。据研究人员称，它通常用于阻止整个国家与运行pfSense的网络进行通信，他们指出了几个需要特别注意该问题的因素。

IHTeam的一位代表说： “该漏洞是从未经身份验证的角度可利用的远程命令执行，最重要的是，Web服务器以root权限运行。 ”

重要的是，该漏洞仅限于默认未安装的pfSense插件。

“如果不主动爬取每个暴露的系统，很难说有多少系统受到影响，”IHTeam表示。

据Shodan称，互联网上有大约27000台暴露的pfSense机器。这不应被视为易受攻击系统数量的任何指示，因为许多系统不会运行受影响的pfBlockerNG插件，但不考虑自软件更新以来，即使是易受攻击的安装也可能已被修补。

在回应询问时，pfBlockerNG的开发者说：“唯一受影响的版本是2.1.4_26及以下版本。这已被修补，可以在pkg管理器中升级。pfBlockerNG-devel不受影响，是推荐使用的版本。”

分发pfSense防火墙的Netgate在回应相关查询时补充道：“他们[研究人员]发现的问题存在于pfBlockerNG包中，但已在pfBlockerNG-devel[最新的尖端版本]包中得到解决，这是包维护者推荐大家使用的版本。”

Netgate表示，要让问题暴露出来，“需要访问防火墙上的Web服务器（绝不应该在WAN上打开，并且在按照最佳实践进行配置时通常会在内部受到限制），尽管它具有理论上高分。”

IHTeam表示，开发人员仍在发布并允许用户在2.x分支和3.x分支（-development分支）之间进行安装。

“误解很容易解决，他们只需从可用插件列表中删除2.x分支，”研究人员补充说。

IHTeam在对产品的易受攻击版本进行独立安全评估时发现了pfBlockerNG中的漏洞。IHTeam于周一（9月5日）在博客文章中发布了有关该问题的技术文章。

一位不愿透露姓名的IHTeam研究人员说，该漏洞的特征为其他软件开发人员提供了教训。

研究人员解释说：“为避免这些类型的漏洞，开发人员在处理用户输入时应格外小心（不仅通过直接GET和POST请求，还通过可能在请求标头中传递的输入，例如Cookies、Host或User-代理）。

“在传递给应用程序之前，应仔细分析和清理所有用户输入。这也适用于其他类型的攻击，例如跨站点脚本(XSS)或SQL注入，不仅适用于命令执行，”他们补充道。