Aktívne zneužívaná kritická zraniteľnosť v produkte GFI KerioControl

Spoločnosť GFI vydala bezpečnostné aktualizácie, ktoré opravujú aktívne zneužívanú kritickú zraniteľnosť v produkte KerioControl. CVE-2024-52875 možno zneužiť na vzdialené vykonanie kódu a následné získanie úplnej kontroly nad systémom.

Zraniteľné systémy:

• GFI Software KerioControl vo verziách 9.2.5 až 9.4.5

Opis zraniteľnosti:

CVE-2024-52875 (CVSS skóre 9,6)

Zraniteľnosť vo webovom rozhraní KerioControl spočíva v nedostatočnom overovaní používateľských vstupov v rámci parametra dest požiadavky GET vo viacerých URI (Uniform Resource Identifier). Chyba bola identifikovaná v nasledovných URI, no môže sa nachádzať aj v iných:

• /nonauth/addCertException.cs
• /nonauth/guestConfirm.cs
• /nonauth/expiration.cs

Nesprávna sanitizácia znakov LF (line feed (\n)) vzdialenému útočníkovi umožňuje realizovať tzv. HTTP Response Splitting útoky, ktoré možno zneužiť na presmerovanie obete alebo realizáciu reflektovaných XSS (Cross Site Scripting) útokov.

Zneužitie zraniteľnosti vyžaduje interakciu zo strany obete, ktorá musí kliknúť na špeciálne vytvorenú URL adresu.

V prípade, že obeťou sa stane používateľ s administrátorskými oprávneniami, možno internú funkcionalitu pre aktualizáciu firmvéru firewallu zneužiť na nahratie škodlivých IMG súborov a získanie úplnej kontroly nad zariadením.

Na uvedenú zraniteľnosť je v súčasnosti dostupný proof-of-concept kód demonštrujúci postup jej zneužitia. Zraniteľnosť je podľa spoločnosti GreyNoise aktívne zneužívaná útočníkmi minimálne od 28. decembra 2024.

Možné škody:

• Vzdialené vykonanie kódu
• Neoprávnený prístup k citlivým údajom
• Neoprávnený prístup do systému
• Získanie úplnej kontroly nad systémom

Odporúčania:

Výrobca odporúča bezodkladnú aktualizáciu zasiahnutých systémov na verziu 9.4.5p1. Vzhľadom na aktívne zneužívanie zraniteľnosti odporúčame v logoch sieťových a bezpečnostných prvkov preveriť HTTP požiadavky na prítomnosť znakov „\r” a “\n”, minimálne smerované na zraniteľné URI:

• /nonauth/addCertException.cs
• /nonauth/guestConfirm.cs
• /nonauth/expiration.cs

Zdroje:

• https://gfi.ai/products-and-solutions/network-security-solutions/keriocontrol/resources/documentation/product-releases
• https://karmainsecurity.com/hacking-kerio-control-via-cve-2024-52875
• https://viz.greynoise.io/tags/kerio-control-cve-2024-52875-crlf-injection-attempt?days=10
• https://censys.com/cve-2024-52875/
• https://thehackernews.com/2025/01/critical-rce-flaw-in-gfi-keriocontrol.html