Центр мониторинга и реагирования UserGate предупреждает о множественных уязвимостях в Sangfor Next Gen Application Firewall
Специалисты центра экспертизы watchTour Labs опубликовали подробное исследование межсетевого экрана следующего поколения (NGAF) китайской компании Sangfor, согласно которому в продукте обнаружены уязвимости и ошибки в коде.
С их помощью злоумышленники могут получить доступ к исходному коду и локальным файлам (в режиме read only), возможность добавлять собственных пользователей SSO через SQL-инъекцию, а также получать информацию о конфигурации подключенных к устройству доменов, включая логин и пароль. Это возможно из-за слабого механизма аутентификации и последующего манипулирования ответами сервера Apache.
Кроме этого, в исследовании watchTour Labs продемонстрирован Proof of Concept для двух видов RCE: через параметр Username на странице входа в систему (параметр передается непосредственно в shell) и Cookie PHPSESSIONID.
Компания Sangfor заявила об осведомленности о некоторых упомянутых уязвимостях и выпуске патчей с исправлениями.
Специалисты watchTour Labs и Центра мониторинга и реагирования UserGate не нашли их в публичном доступе.
Оставшиеся уязвимости Sangfor не смогла подтвердить, ссылаясь на false positive.
Если в вашей инфраструктуре используется ПО Sangfor Next Gen Application Firewall (NGAF) версии 8.0.17, специалисты Центра мониторинга и реагирования UserGate рекомендуют пользователям следующие действия: закрыть внешний доступ к сервисам Firewall Report Center и Administrator Login Portal на портах 85 и 4433; проверить актуальность подписки на модуль Security updates; добавить в блокирующее правило IDPS следующие сигнатуры: Sangfor NGAF Arbitrary file read; Sangfor NGAF Remote code execution in loginout.php; Sangfor NGAF Remote code execution in PHPSESSID; Sangfor NGAF malicious SSO user creation; Sangfor NGAF Content-Length Source Code Dump.