Agentes de ameaças estão tentando se aproveitar de uma falha de segurança recentemente divulgada que afeta os firewalls GFI KerioControl.
Se explorada com sucesso, essa falha poderia permitir que atores maliciosos realizassem execução remota de código (Remote Code Execution - RCE).
A vulnerabilidade em questão, CVE-2024-52875, refere-se a um ataque de injeção de Carriage Return Line Feed (CRLF), abrindo caminho para a divisão de resposta HTTP, o que poderia levar a uma falha de cross-site scripting (XSS).
A exploração bem-sucedida da falha RCE de 1 clique permite a um atacante injetar entradas maliciosas nos cabeçalhos de resposta HTTP introduzindo caracteres de retorno de carro (\r) e alimentação de linha (\n).
A falha afeta as versões do KerioControl de 9.2.5 a 9.4.5, de acordo com o pesquisador de segurança Egidio Romano, que descobriu e relatou a falha no início de novembro de 2024.
As falhas de divisão de resposta HTTP foram descobertas nos seguintes caminhos de URI:
/nonauth/addCertException.cs
/nonauth/guestConfirm.cs
/nonauth/expiration.cs
"A entrada do usuário passada para essas páginas via parâmetro GET 'dest' não é devidamente higienizada antes de ser usada para gerar um cabeçalho HTTP 'Location' em uma resposta HTTP 302," disse Romano.
Especificamente, a aplicação não filtra/remove adequadamente os caracteres de alimentação de linha (LF). Isso pode ser explorado para realizar ataques de divisão de resposta HTTP, que, por sua vez, podem permitir a execução de cross-site scripting (XSS) refletido e possivelmente outros ataques.
Uma correção para a vulnerabilidade foi lançada pela GFI em 19 de dezembro de 2024, com a versão 9.4.5 Patch 1.
Desde então, um exploração de conceito (Proof of Concept - PoC) foi disponibilizada.
Especificamente, um adversário poderia criar uma URL maliciosa tal que um usuário administrador, ao clicar nela, acionasse a execução do PoC hospedado em um servidor controlado pelo atacante, que então carrega um arquivo .img malicioso por meio da funcionalidade de atualização de firmware, garantindo acesso root ao firewall.
A empresa de inteligência de ameaças GreyNoise reportou que tentativas de exploração visando o CVE-2024-52875 começaram em 28 de dezembro de 2024, com os ataques originando-se de sete endereços IP únicos de Singapura e Hong Kong até o momento.
De acordo com a Censys, existem mais de 23.800 instâncias do GFI KerioControl expostas na internet.
A maioria desses servidores está localizada no Irã, Uzbequistão, Itália, Alemanha, Estados Unidos, Tchéquia, Belarus, Ucrânia, Rússia e Brasil.
A natureza exata dos ataques que exploram a falha atualmente não é conhecida.
Aconselha-se que os usuários do KerioControl tomem medidas para proteger suas instâncias o mais rápido possível para mitigar possíveis ameaças.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...