Tehdit aktörleri, GFI KerioControl güvenlik duvarlarını etkileyen, yakın zamanda açıklanan ve başarılı bir şekilde kullanılması durumunda kötü niyetli aktörlerin uzaktan kod yürütme (RCE) gerçekleştirmesine olanak tanıyabilecek bir güvenlik kusurundan yararlanmaya çalışıyor.
Söz konusu güvenlik açığı, CVE-2024-52875HTTP yanıt bölünmesinin önünü açan ve daha sonra siteler arası komut dosyası oluşturma (XSS) kusuruna yol açabilecek bir satır başı satır besleme (CRLF) enjeksiyon saldırısını ifade eder.
Tek tıklamayla RCE kusurunun başarılı bir şekilde kullanılması, bir saldırganın satır başı (\r) ve satır besleme (\n) karakterleri ekleyerek HTTP yanıt başlıklarına kötü amaçlı girdiler eklemesine olanak tanır.
Kusuru Kasım 2024’ün başlarında keşfedip bildiren güvenlik araştırmacısı Egidio Romano’ya göre kusur, KerioControl’ün 9.2.5’ten 9.4.5’e kadar olan sürümlerini etkiliyor.
Aşağıdaki URI yollarında HTTP yanıtı bölme kusurları ortaya çıkarıldı:
- /nonauth/addCertException.cs
- /nonauth/guestConfirm.cs
- /nonauth/expiration.cs
Romano, “Bu sayfalara ‘dest’ GET parametresi aracılığıyla iletilen kullanıcı girdisi, 302 HTTP yanıtında bir ‘Konum’ HTTP başlığı oluşturmak için kullanılmadan önce uygun şekilde sterilize edilmiyor” dedi.
“Özellikle uygulama, satır besleme (LF) karakterlerini doğru bir şekilde filtrelemiyor/kaldırmıyor. Bu, HTTP Yanıt Bölme saldırılarını gerçekleştirmek için kullanılabilir ve bu da, yansıtılan siteler arası komut dosyası oluşturma (XSS) ve muhtemelen diğer saldırılar.”
Güvenlik açığına yönelik bir düzeltme, GFI tarafından 19 Aralık 2024’te 9.4.5 Yama 1 sürümüyle yayımlandı. O zamandan beri bir kavram kanıtlama (PoC) istismarı kullanıma sunuldu.
Spesifik olarak, bir saldırgan, kötü amaçlı bir URL oluşturabilir, öyle ki, yönetici kullanıcı bu URL’yi tıklatarak saldırgan tarafından kontrol edilen bir sunucuda barındırılan PoC’nin yürütülmesini tetikleyebilir ve bu daha sonra ürün yazılımı yükseltme işlevi aracılığıyla kötü amaçlı bir .img dosyası yükleyerek, sunucuya kök erişimi sağlar. güvenlik duvarı.
Tehdit istihbarat firması GreyNoise, CVE-2024-52875’i hedef alan istismar girişimlerinin 28 Aralık 2024’te başladığını ve saldırıların bugüne kadar Singapur ve Hong Kong’daki yedi benzersiz IP adresinden kaynaklandığını bildirdi.
Censys’e göre 23.800’den fazla internete açık GFI KerioControl örneği var. Bu sunucuların çoğunluğu İran, Özbekistan, İtalya, Almanya, Amerika Birleşik Devletleri, Çekya, Belarus, Ukrayna, Rusya ve Brezilya’da bulunmaktadır.
Bu kusurdan yararlanan saldırıların kesin niteliği şu anda bilinmemektedir. KerioControl kullanıcılarının, olası tehditleri azaltmak amacıyla örneklerini mümkün olan en kısa sürede güvenceye almak için gerekli adımları atmaları tavsiye edilir.