Tehdit aktörleri yakın zamanda açıklanan bir güvenlik açığından yararlanmaya çalışıyor. GFI KerioControl Başarılı bir şekilde kullanılırsa kötü niyetli kişilerin uzaktan kod yürütmesine (RCE) erişmesine izin verebilecek güvenlik duvarları.
Söz konusu güvenlik açığı, CVE-2024-52875satır başı besleme hattını ifade eder (CRLF) enjeksiyon saldırısı, önünü açıyor HTTP yanıtı bölmebu da siteler arası komut dosyası çalıştırma (XSS) hatasına yol açabilir.
Tek tıklamayla RCE kusurunun başarılı bir şekilde kullanılması, bir saldırganın satır başı (r) ve satır besleme (n) karakterleri ekleyerek HTTP yanıt başlıklarına kötü amaçlı girdiler eklemesine olanak tanır.
Güvenlik araştırmacısı Egidio Romano’ya göre kusur, KerioControl’ün 9.2.5’ten 9.4.5’e kadar olan sürümlerini etkiliyor. keşfedildi ve rapor edildi kusur Kasım 2024’ün başlarında.
Aşağıdaki URI yollarında HTTP yanıtı bölme kusurları ortaya çıkarıldı:
- /nonauth/addCertException.cs
- /nonauth/guestConfirm.cs
- /nonauth/expiration.cs
Romano, “Bu sayfalara ‘dest’ GET parametresi yoluyla iletilen kullanıcı girdisi, 302 HTTP yanıtında bir ‘Konum’ HTTP başlığı oluşturmak için kullanılmadan önce uygun şekilde temizlenmemiş.” söz konusu.
“Özellikle uygulama, satır besleme (LF) karakterlerini doğru bir şekilde filtrelemiyor/kaldırmıyor. Bu, HTTP Yanıt Bölme saldırılarını gerçekleştirmek için kullanılabilir ve bu da, yansıtılan siteler arası komut dosyası oluşturma (XSS) ve muhtemelen diğer saldırılar.”
GFI tarafından 19 Aralık 2024’te güvenlik açığına yönelik bir düzeltme yayınlandı. sürüm 9.4.5 Yama 1. O zamandan beri bir kavram kanıtı (PoC) istismarı kullanıma sunuldu.
Spesifik olarak, bir saldırgan, kötü amaçlı bir URL oluşturabilir, öyle ki, yönetici kullanıcı bu URL’yi tıklatarak saldırgan tarafından kontrol edilen bir sunucuda barındırılan PoC’nin yürütülmesini tetikleyebilir ve bu daha sonra ürün yazılımı yükseltme işlevi aracılığıyla kötü amaçlı bir .img dosyası yükleyerek, sunucuya kök erişimi sağlar. güvenlik duvarı.
Tehdit istihbaratı firması GreyNoise rapor edildi CVE-2024-52875’i hedef alan istismar girişimlerinin 28 Aralık 2024’te başladığı ve saldırıların bugüne kadar Singapur ve Hong Kong’daki yedi benzersiz IP adresinden kaynaklandığı belirtildi.
Buna göre Sayımlar23.800’den fazla internete açık GFI KerioControl örneği var. Bu sunucuların çoğunluğu İran, Özbekistan, İtalya, Almanya, Amerika Birleşik Devletleri, Çekya, Belarus, Ukrayna, Rusya ve Brezilya’da bulunmaktadır.
Bu kusurdan yararlanan saldırıların kesin niteliği şu anda bilinmemektedir. KerioControl kullanıcılarının, olası tehditleri azaltmak amacıyla örneklerini mümkün olan en kısa sürede güvenceye almak için gerekli adımları atmaları tavsiye edilir.
