Hakeri pokušavaju da iskoriste nedavno otkrivenu bezbjednosnu grešku koja utiče na GFI KerioControl zaštitne zidove koji, ako se uspešno iskoriste, mogu omogućiti malicioznim hakerima da postignu daljinsko izvršavanje koda (RCE).
Ranjivost o kojoj je riječ, CVE-2024-52875 , odnosi se na napad ubrizgavanja povratne linije ( CRLF ), utirući put za podjelu HTTP odgovora , što bi onda moglo dovesti do greške u skriptiranju na više lokacija (XSS).
Uspješno iskorištavanje RCE greške od 1 klika dozvoljava napadaču da ubaci malicozne unose u zaglavlja HTTP odgovora uvođenjem nakova za povratak na red (\r) i za pomicanje reda (\n).
Greška utiče na KerioControl verzije od 9.2.5 do 9.4.5, prema istraživaču sigurnosti Egidio Romano, koji je otkrio i prijavio grešku početkom novembra 2024. godine.
Propuste u podjelu HTTP odgovora otkrivene su u sljedećim URI stazama –
- /nonauth/addCertException.cs
- /nonauth/guestConfirm.cs
- /nonauth/expiration.cs
“Korisnički unos proslijeđen ovim stranicama preko ‘dest’ GET parametra nije ispravno saniran prije nego što se koristi za generisanje ‘Location’ HTTP zaglavlja u 302 HTTP odgovoru,” rekao je Romano .
“Konkretno, aplikacija ne filtrira/uklanja ispravno znakove za unos reda (LF). Ovo se može iskoristiti za izvođenje napada HTTP Response Spliting, što bi joj, zauzvrat, moglo omogućiti da izvrši reflektovano skriptiranje na više lokacija (XSS) i eventualno drugi napadi.”
GFI je objavio ispravku za ranjivost 19. decembra 2024. sa verzijom 9.4.5 zakrpe 1 . Dokaz koncepta (PoC) eksploatacija je od tada postala dostupna.
Konkretno, protivnik bi mogao izraditi maliciozne URL tako da administratorski korisnik klikne na njega pokrenuti izvršenje PoC-a koji se nalazi na serveru koji kontrolira napadač, koji zatim učitava nakiciozne .img datoteku putem funkcije nadogradnje firmvera, dajući root pristup firewall.
Obavještajna firma o prijetnjama GreyNoise izvijestila je da su pokušaji eksploatacije usmjereni na CVE-2024-52875 započeli još 28. decembra 2024. godine, pri čemu su napadi do danas potekli sa sedam jedinstvenih IP adresa iz Singapura i Hong Konga.
Prema Censys-u , postoji više od 23.800 GFI KerioControl instanci izloženih internetu. Većina ovih servera nalazi se u Iranu, Uzbekistanu, Italiji, Njemačkoj, Sjedinjenim Državama, Češkoj, Bjelorusiji, Ukrajini, Rusiji i Brazilu.
Tačna priroda napada kojima se iskorištava nedostatak trenutno nije poznata. Korisnicima KerioControla se savjetuje da preduzmu korake kako bi osigurali svoje instance što je prije moguće kako bi ublažili potencijalne prijetnje.
Izvor:The Hacker News