{"id":1524867,"date":"2025-01-10T01:14:50","date_gmt":"2025-01-10T01:14:50","guid":{"rendered":"https:\/\/teknomers.com\/es\/una-falla-critica-de-rce-en-gfi-keriocontrol-permite-la-ejecucion-remota-de-codigo-mediante-inyeccion-crlf\/"},"modified":"2025-01-10T01:14:55","modified_gmt":"2025-01-10T01:14:55","slug":"una-falla-critica-de-rce-en-gfi-keriocontrol-permite-la-ejecucion-remota-de-codigo-mediante-inyeccion-crlf","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/una-falla-critica-de-rce-en-gfi-keriocontrol-permite-la-ejecucion-remota-de-codigo-mediante-inyeccion-crlf\/","title":{"rendered":"Una falla cr\u00edtica de RCE en GFI KerioControl permite la ejecuci\u00f3n remota de c\u00f3digo mediante inyecci\u00f3n CRLF"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">09 de enero de 2025<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Ravie Lakshmanan<\/span><\/span><span class=\"p-tags\">Inteligencia de vulnerabilidades\/amenazas<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/01\/Una-falla-critica-de-RCE-en-GFI-KerioControl-permite-la.png\" style=\"clear: left; display: block; float: left;  text-align: center;\"><\/a><\/div>\n<p>Los actores de amenazas est\u00e1n intentando aprovechar una falla de seguridad recientemente revelada que afecta <a rel=\"noopener nofollow\" href=\"https:\/\/gfi.ai\/products-and-solutions\/network-security-solutions\/keriocontrol\" target=\"_blank\">GFI KerioControl<\/a> cortafuegos que, si se explotan con \u00e9xito, podr\u00edan permitir a actores maliciosos lograr la ejecuci\u00f3n remota de c\u00f3digo (RCE).<\/p>\n<p>La vulnerabilidad en cuesti\u00f3n, <strong>CVE-2024-52875<\/strong>se refiere a un avance de l\u00ednea de retorno de carro (<a rel=\"noopener nofollow\" href=\"https:\/\/owasp.org\/www-community\/vulnerabilities\/CRLF_Injection\" target=\"_blank\">CRLF<\/a>) ataque de inyecci\u00f3n, allanando el camino para <a rel=\"noopener nofollow\" href=\"https:\/\/capec.mitre.org\/data\/definitions\/34.html\" target=\"_blank\">Divisi\u00f3n de respuesta HTTP<\/a>lo que podr\u00eda provocar un error de secuencias de comandos entre sitios (XSS).<\/p>\n<p>La explotaci\u00f3n exitosa de la falla RCE de 1 clic permite a un atacante inyectar entradas maliciosas en los encabezados de respuesta HTTP mediante la introducci\u00f3n de caracteres de retorno de carro (r) y avance de l\u00ednea (n). <\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/gartner-endpoint-protection-d-v1\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/12\/La-campana-HornsHooves-ofrece-RAT-a-traves-de-correos-electronicos.jpg\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>La falla afecta a las versiones 9.2.5 a 9.4.5 de KerioControl, seg\u00fan el investigador de seguridad Egidio Romano, quien <a rel=\"noopener nofollow\" href=\"https:\/\/karmainsecurity.com\/hacking-kerio-control-via-cve-2024-52875\" target=\"_blank\">descubierto y reportado<\/a> la falla a principios de noviembre de 2024.<\/p>\n<p>Las fallas de divisi\u00f3n de la respuesta HTTP se han descubierto en las siguientes rutas de URI:<\/p>\n<ul>\n<li>\/nonauth\/addCertException.cs<\/li>\n<li>\/nonauth\/guestConfirm.cs<\/li>\n<li>\/nonauth\/expiration.cs<\/li>\n<\/ul>\n<p>&#8220;La entrada del usuario pasada a estas p\u00e1ginas a trav\u00e9s del par\u00e1metro GET &#8216;dest&#8217; no se desinfecta adecuadamente antes de usarse para generar un encabezado HTTP &#8216;Ubicaci\u00f3n&#8217; en una respuesta HTTP 302&#8221;, Romano <a rel=\"noopener nofollow\" href=\"https:\/\/karmainsecurity.com\/KIS-2024-07\" target=\"_blank\">dicho<\/a>.<\/p>\n<p>&#8220;Espec\u00edficamente, la aplicaci\u00f3n no filtra\/elimina correctamente los caracteres de avance de l\u00ednea (LF). Esto puede explotarse para realizar ataques de divisi\u00f3n de respuesta HTTP, lo que, a su vez, podr\u00eda permitirle llevar a cabo secuencias de comandos entre sitios reflejadas (XSS) y posiblemente otros ataques.&#8221;<\/p>\n<p>GFI public\u00f3 una soluci\u00f3n para la vulnerabilidad el 19 de diciembre de 2024, con <a rel=\"noopener nofollow\" href=\"https:\/\/gfi.ai\/products-and-solutions\/network-security-solutions\/keriocontrol\/resources\/documentation\/product-releases\" target=\"_blank\">versi\u00f3n 9.4.5 Parche 1<\/a>. Desde entonces, se ha puesto a disposici\u00f3n un exploit de prueba de concepto (PoC).<\/p>\n<p>Espec\u00edficamente, un adversario podr\u00eda crear una URL maliciosa de modo que un usuario administrador al hacer clic en ella active la ejecuci\u00f3n de la PoC alojada en un servidor controlado por el atacante, que luego carga un archivo .img malicioso a trav\u00e9s de la funcionalidad de actualizaci\u00f3n del firmware, otorgando acceso ra\u00edz a la URL. cortafuegos.<\/p>\n<div class=\"dog_two clear\"><center class=\"cf\"><a rel=\"nofollow noopener sponsored\" href=\"https:\/\/thehackernews.uk\/itdr-guide-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"Ciberseguridad\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/01\/1735735832_165_Entidades-iranies-y-rusas-sancionadas-por-interferencia-electoral-utilizando-inteligencia.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>La firma de inteligencia de amenazas GreyNoise tiene <a rel=\"noopener nofollow\" href=\"https:\/\/viz.greynoise.io\/tags\/kerio-control-cve-2024-52875-crlf-injection-attempt?days=30\" target=\"_blank\">reportado<\/a> que los intentos de explotaci\u00f3n dirigidos a CVE-2024-52875 comenzaron el 28 de diciembre de 2024, y los ataques se originaron en siete direcciones IP \u00fanicas de Singapur y Hong Kong hasta la fecha.<\/p>\n<p>De acuerdo a <a rel=\"noopener nofollow\" href=\"https:\/\/censys.com\/cve-2024-52875\/\" target=\"_blank\">censys<\/a>hay m\u00e1s de 23.800 instancias de GFI KerioControl expuestas a Internet. La mayor\u00eda de estos servidores est\u00e1n ubicados en Ir\u00e1n, Uzbekist\u00e1n, Italia, Alemania, Estados Unidos, Chequia, Bielorrusia, Ucrania, Rusia y Brasil.<\/p>\n<p>Actualmente se desconoce la naturaleza exacta de los ataques que aprovechan la falla. Se recomienda a los usuarios de KerioControl que tomen medidas para proteger sus instancias lo antes posible para mitigar posibles amenazas.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfEncontr\u00f3 interesante este art\u00edculo? S\u00edguenos en <a rel=\"noopener nofollow\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"noopener nofollow\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2025\/01\/critical-rce-flaw-in-gfi-keriocontrol.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80209 de enero de 2025\ue804Ravie LakshmananInteligencia de vulnerabilidades\/amenazas Los actores de amenazas est\u00e1n intentando aprovechar una falla de<\/p>\n","protected":false},"author":1,"featured_media":1524868,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,4661,706,4664,2458,271663,11214,2503,271661,9455,271662,201033,11078,4654,201031,4659,4653,4655,779,22592,17256,246983,255454,246984,201032,158,246982,4660],"class_list":["post-1524867","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-ataques-ciberneticos","tag-codigo","tag-como-hackear","tag-critica","tag-crlf","tag-ejecucion","tag-falla","tag-gfi","tag-inyeccion","tag-keriocontrol","tag-las-noticias-de-los-piratas-informaticos","tag-mediante","tag-noticias-ciberneticas","tag-noticias-de-piratas-informaticos","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-permite","tag-rce","tag-remota","tag-seguridad-de-la-informacion","tag-seguridad-de-red","tag-seguridad-informatica","tag-software-malicioso-ransomware","tag-una","tag-violacion-de-datos","tag-vulnerabilidad-de-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1524867","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=1524867"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1524867\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/1524868"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=1524867"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=1524867"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=1524867"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}