Хакеры активно используют уязвимость CVE-2024-52875, обнаруженную в продукте GFI KerioControl – брандмауэре для малого и среднего бизнеса. Эта критическая уязвимость типа CRLF Injection позволяет выполнять удалённый код при помощи одного клика.
GFI KerioControl представляет собой универсальное решение для сетевой безопасности, объединяющее функции брандмауэра, VPN, управления трафиком, антивирусной защиты и системы предотвращения вторжений. Уязвимость, затрагивающая версии 9.2.5-9.4.5, связана с некорректной обработкой символов перевода строки (LF) в параметре “dest”, что открывает возможность манипуляции HTTP-заголовками и ответами.
16 декабря 2024 года исследователь безопасности Эгидио Романо (EgiX) опубликовал подробное описание CVE-2024-52875. Он показал, как проблема, изначально оценённая как низкоуровневая, может привести к выполнению кода через уязвимые HTTP-ответы. Вредоносный JavaScript, внедряемый в ответы, может похищать куки и CSRF-токены.
Используя похищенные токены администратора, злоумышленники могут загружать вредоносные IMG-файлы, содержащие скрипты с правами root. Это позволяет активировать обратную оболочку через функционал обновления Kerio.
Платформа мониторинга угроз Greynoise 8 января зафиксировала попытки эксплуатации CVE-2024-52875 с четырёх различных IP-адресов. Эти действия признаны вредоносными и связываются с атаками, а не исследовательской деятельностью.
По данным Censys, в сети насчитывается 23 862 экземпляра KerioControl с открытым доступом, однако неизвестно, сколько из них уязвимы.
GFI Software выпустила обновление версии 9.4.5 Patch 1, устраняющее проблему. Пользователям рекомендуется немедленно установить исправление. В качестве временных мер советуется ограничить доступ к веб-интерфейсу управления брандмауэром только доверенными IP-адресами, заблокировать страницы”/admin” и”/noauth”, а также уменьшить время сессий для повышения безопасности.