Χάκερ εκμεταλλεύονται ελάττωμα KerioControl για κλοπή διαχειριστή CSRF

Οι χάκερ προσπαθούν να εκμεταλλευτούν το CVE-2024-52875, μια κρίσιμη ευπάθεια έγχυσης CRLF που οδηγεί σε επιθέσεις απομακρυσμένης εκτέλεσης κώδικα (RCE) με 1 κλικ στο προϊόν τείχους προστασίας GFI KerioControl.

Το KerioControl είναι μια λύση ασφάλειας δικτύου σχεδιασμένη για μικρές και μεσαίες επιχειρήσεις που συνδυάζει τείχος προστασίας, VPN, διαχείριση εύρους ζώνης, αναφορά και παρακολούθηση, φιλτράρισμα κυκλοφορίας, προστασία AV και πρόληψη εισβολών.

Στις 16 Δεκεμβρίου 2024, ο ερευνητής ασφάλειας Egidio Romano (EgiX) δημοσίευσε ένα αναλυτική καταγραφή στο CVE-2024-52875, δείχνοντας πώς ένα φαινομενικά χαμηλής σοβαρότητας πρόβλημα διαχωρισμού απόκρισης HTTP θα μπορούσε να κλιμακωθεί σε RCE με 1 κλικ.

Η ευπάθεια, η οποία επηρεάζει τις εκδόσεις KerioControl 9.2.5 έως 9.4.5, οφείλεται σε ακατάλληλη εξυγίανση των χαρακτήρων τροφοδοσίας γραμμής (LF) στην παράμετρο «dest», επιτρέποντας τον χειρισμό της κεφαλίδας HTTP και της απόκρισης μέσω ωφέλιμων φορτίων με έγχυση.

Το κακόβουλο JavaScript που εισάγεται στις απαντήσεις εκτελείται στο πρόγραμμα περιήγησης του θύματος, οδηγώντας στην εξαγωγή cookie ή διακριτικών CSRF.

Ένας εισβολέας θα μπορούσε να χρησιμοποιήσει το διακριτικό CSRF ενός πιστοποιημένου χρήστη διαχειριστή για να ανεβάσει ένα κακόβουλο αρχείο .IMG που περιέχει ένα σενάριο φλοιού σε επίπεδο ρίζας, αξιοποιώντας τη λειτουργία αναβάθμισης του Kerio, η οποία ανοίγει ένα αντίστροφο κέλυφος για τον εισβολέα.

Ενεργητική εκμετάλλευση

Χθες, πλατφόρμα σάρωσης απειλών Εντοπίστηκε γκρίζος θόρυβος απόπειρες εκμετάλλευσης που στοχεύουν το CVE-2024-52875 από τέσσερις διακριτές διευθύνσεις IP, πιθανώς χρησιμοποιώντας τον κώδικα εκμετάλλευσης PoC που παρουσίασε η Romano.

Η δραστηριότητα επισημαίνεται ως “κακόβουλη” από την πλατφόρμα παρακολούθησης απειλών, υποδεικνύοντας ότι οι απόπειρες εκμετάλλευσης αποδίδονται σε παράγοντες απειλών και όχι σε ερευνητές που διερευνούν συστήματα.

Επίσης χθες, ανέφερε το Censys 23.862 παρουσίες GFI KerioControl που εκτίθενται στο διαδίκτυο, αν και δεν είναι σαφές πόσες από αυτές είναι ευάλωτες στο CVE-2024-52875 είναι άγνωστο.

Το λογισμικό GFI κυκλοφόρησε στις 19 Δεκεμβρίου 2024 έκδοση 9.4.5 Ενημερωμένη έκδοση κώδικα 1 για το προϊόν KerioControl, το οποίο αντιμετωπίζει την ευπάθεια . Συνιστάται στους χρήστες να εφαρμόσουν την επιδιόρθωση το συντομότερο δυνατό.

Εάν η ενημέρωση κώδικα δεν είναι δυνατή αυτήν τη στιγμή, οι διαχειριστές θα πρέπει να περιορίσουν την πρόσβαση στη διεπαφή διαχείρισης ιστού του KerioControl σε αξιόπιστες διευθύνσεις IP και να απενεργοποιήσουν τη δημόσια πρόσβαση στις σελίδες ‘/admin’ και ‘/noauth’ μέσω κανόνων τείχους προστασίας.

Η παρακολούθηση προσπαθειών εκμετάλλευσης που στοχεύουν τις παραμέτρους «καταγόμενης» και η διαμόρφωση μικρότερων χρόνων λήξης συνεδρίας αποτελούν επίσης αποτελεσματικούς μετριασμούς.