Hackers estão tentando explorar o CVE-2024-52875, uma vulnerabilidade crítica de injeção CRLF que leva a ataques de execução remota de código (RCE) com apenas 1 clique no produto de firewall GFI KerioControl.
KerioControl é uma solução de segurança de rede projetada para pequenas e médias empresas que combina firewall, VPN, gerenciamento de largura de banda, relatórios e monitoramento, filtragem de tráfego, proteção AV e prevenção de intrusões.
Em 16 de dezembro de 2024, o pesquisador de segurança Egidio Romano (EgiX) publicou um relato detalhado sobre o CVE-2024-52875, demonstrando como um problema de divisão de resposta HTTP aparentemente de baixa severidade poderia escalar para um RCE com 1 clique.
A vulnerabilidade, que impacta as versões do KerioControl de 9.2.5 a 9.4.5, é devida à sanitização inadequada de caracteres de alimentação de linha (LF) no parâmetro 'dest', permitindo a manipulação de cabeçalho HTTP e resposta através de payloads injetados.
JavaScript malicioso injetado em respostas é executado no navegador da vítima, levando à extração de cookies ou tokens CSRF.
Um atacante poderia usar o token CSRF de um usuário administrador autenticado para carregar um arquivo .IMG malicioso contendo um script de shell de nível root, aproveitando a funcionalidade de atualização da Kerio, o que abre um shell reverso para o atacante.
Ontem, a plataforma de varredura de ameaças Greynoise detectou tentativas de exploração visando o CVE-2024-52875 a partir de quatro endereços IP distintos, possivelmente usando o código de exploração PoC apresentado por Romano.
A atividade é marcada como "maliciosa" pela plataforma de monitoramento de ameaças, indicando que as tentativas de exploração são atribuídas a atores de ameaças em vez de pesquisadores sondando sistemas.
Também ontem, a Censys reportou 23.862 instâncias do GFI KerioControl expostas na internet, embora não esteja claro quantas delas são vulneráveis ao CVE-2024-52875.
A GFI Software, em 19 de dezembro de 2024, lançou a versão 9.4.5 Patch 1 para o produto KerioControl, que aborda a vulnerabilidade.
Recomenda-se que os usuários apliquem a correção o mais rápido possível.
Se a aplicação da correção não for possível no momento, os administradores devem limitar o acesso à interface de gerenciamento web do KerioControl a endereços IP confiáveis e desativar o acesso público às páginas '/admin' e '/noauth' através de regras de firewall.
Monitorar tentativas de exploração visando os parâmetros 'dest' e configurar tempos de expiração de sessão mais curtos também são mitigações eficazes.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...