Kritik bir güvenlik açığı olan CVE-2024-52875, 9.2.5 ila 9.4.5 sürümlerini etkileyen GFI Keriocontrol güvenlik duvarlarında tanımlanmıştır.
Uzaktan Kod Yürütme (RCE) için sömürülebilen bu kusur, siber suçlulardan zaten önemli bir dikkat çekti ve dünya çapında binlerce açılmamış sistem risk altında.
Güvenlik açığı, Keriocontrol web arayüzünün kime doğrulanmamış URI yollarında bulunur, /nonauth/addCertException.cs– /nonauth/guestConfirm.csVe /nonauth/expiration.cs.
Bu sayfalar, dest Saldırganların HTTP yanıtlarına çizgi besleme (LF) karakterleri enjekte etmesine izin vererek parametre alın. Bu uygun olmayan giriş işleme, HTTP yanıt bölme saldırılarının kapısını açar, bu da açık yönlendirmelere ve yansıyan siteler arası senaryolara (XSS) yol açabilir.
Bir kavram kanıtı (POC) istismar, saldırganların kötü niyetli eylemler yürütmek için bu kusurdan nasıl yararlanabileceğini göstermektedir. Özellikle, bir saldırgan, kimliği doğrulanmış bir yönetici tarafından tıklandığında, kötü niyetli bir yüklemeyi tetikleyen kötü amaçlı bir URL oluşturabilir. .img Güvenlik Duvarı’nın ürün yazılımı yükseltme işlevselliği aracılığıyla dosya. Bu işlem nihayetinde saldırgan kökü erişimini sisteme verir.
Dış tehdit aktörleri, yöneticileri kötü amaçlı bağlantıları tıklamaya yönlendirmek için sosyal mühendislik taktikleri ile birleştirebileceğinden, istismarın kimlik doğrulanmamış URI yolları aracılığıyla erişilebilirliği özellikle tehlikeli hale getirir.
Küresel etki ve sömürü
9 Şubat 2025 itibariyle, Shadowserver Vakfı, küresel olarak maruz kalan 12.229 kesintisiz Keriokontrol örnek olduğunu bildirdi. Shadowserver tarafından paylaşılan bir ısı haritası, Kuzey Amerika, Avrupa ve Asya’daki yaygın güvenlik açıklarını vurgular.
Organizasyon ayrıca, balkospot sensörlerindeki bu özel güvenlik açığını hedefleyen tarama etkinliğini tespit etti ve bu da tehdit aktörlerinin aktif sömürü girişimlerini gösterdi.
Ulusal güvenlik açığı veritabanından (NVD) resmi bir danışmanlığın olmaması, hafifletme çabalarını daha da karmaşıklaştırmaktadır. Bu güvenlik duvarlarına güvenen kuruluşlar, bir ihlal yaşayana veya Shadowserver gibi üçüncü taraf güvenlik monitörlerinden uyarılar alana kadar riskten habersiz kalabilirler.
Satın alınmamış keriocontrol güvenlik duvarları, cihazlar üzerinde tam kontrol sahibi olabilecek saldırganlar tarafından tehlikeye atılma riski altındadır. Bir kez sömürüldükten sonra, bu güvenlik duvarları daha geniş ağ müdahaleleri için giriş noktaları görevi görebilir veya bağlı sistemlere karşı daha fazla saldırı başlatmak için kullanılabilir.
Organizasyonel ağları güvence altına alan güvenlik duvarlarının kritik doğası göz önüne alındığında, başarılı sömürü veri ihlallerine, fidye yazılımı saldırılarına veya diğer siber suçlara yol açabilir.
Azaltma ve öneriler
GFI yazılımı henüz CVE-2024-52875’e hitap eden bir kamu yaması veya danışmanlık yayınlamamıştır. Bu gecikme ışığında, kiraokontrol güvenlik duvarlarının etkilenen versiyonlarını kullanan kuruluşlar, riski azaltmak için anında adımlar atmalıdır:
- Erişimi kısıtlamak: Yalnızca güvenilir IP adreslerine izin vererek web arayüzüne erişimi sınırlayın.
- Göstergeleri Monitör: Güvenlik duvarı sistemlerinde olağandışı etkinlik veya uzlaşma belirtileri olup olmadığını kontrol edin.
- Güncellemeleri uygulayın: GFI’dan düzenli olarak ürün yazılımı güncellemelerini kontrol edin ve kullanılabilir hale gelir gelmez uygulayın.
- Yöneticileri eğitin: Yöneticileri bu güvenlik açığından yararlanabilecek şüpheli bağlantıları tanımak ve tıklamak için eğitin.
Shadowserver, organizasyonları hızlı hareket etmeye ve sistemlerinin savunmasız olup olmadığını doğrulamaya çağırdı. Gösterge tablolarını uyarılar için izlemenizi ve mevcut yamaları uygulamanızı önerirler.
CVE-2024-52875’in sömürülmesi, zamanında yama yönetimi ve proaktif güvenlik önlemlerinin kritik önemini vurgulamaktadır. Vahşi doğada tespit edilen 12.000’den fazla sistem hala küresel olarak ve aktif tarama tespit edilmesiyle, bu güvenlik açığı GFI Keriocontrol güvenlik duvarlarına dayanan kuruluşlar için ciddi bir tehdit oluşturmaktadır.
Are you from SOC/DFIR Team? - Join 500,000+ Researchers to Analyze Cyber Threats with ANY.RUN Sandbox - Try for Free