بیش از دوازده هزار نمونه از فایروالهای GFI KerioControl در معرض یک آسیبپذیری حیاتی اجرای کد از راه دور (RCE) قرار دارند که با شناسه CVE-2024-52875 پیگیری میشود. KerioControl یک مجموعه امنیت شبکه است که کسبوکارهای کوچک و متوسط برای VPN، مدیریت پهنای باند، گزارشگیری و نظارت، فیلتر کردن ترافیک، حفاظت از آنتیویروس و پیشگیری از نفوذ از آن استفاده میکنند.
این آسیبپذیری در اواسط دسامبر توسط محقق امنیتی Egidio Romano (EgiX) کشف شد، که امکان حملات خطرناک 1-کلیک RCE را به نمایش گذاشت. GFI Software یک بهروزرسانی امنیتی برای این مشکل با نسخه 9.4.5 Patch 1 در تاریخ 19 دسامبر 2024 منتشر کرد، اما سه هفته بعد طبق اطلاعات Censys، بیش از 23,800 نمونه همچنان در معرض این آسیبپذیری بودند.
اوایل ماه گذشته، Greynoise اعلام کرد که تلاشهای فعال برای بهرهبرداری از PoC (مدل اثبات مفهوم) ارائهشده توسط Romano را شناسایی کرده است که هدف آن سرقت توکنهای CSRF مدیران بوده است. با وجود هشدار درباره بهرهبرداری فعال، سرویس نظارت بر تهدیدات The Shadowserver Foundation اکنون گزارش میدهد که بیش از 12,229 فایروال KerioControl در معرض حملات استفاده از آسیبپذیری CVE-2024-52875 قرار دارند. بیشتر این نمونهها در کشورهایی مانند ایران، ایالات متحده، ایتالیا، آلمان، روسیه، قزاقستان، ازبکستان، فرانسه، برزیل و هند قرار دارند. با توجه به وجود یک PoC عمومی برای CVE-2024-52875، الزامات بهرهبرداری پایین است و حتی هکرهای کمتجربه نیز میتوانند در فعالیتهای مخرب مشارکت کنند.
Egidio Romano توضیح میدهد:
“ورودیهای کاربر که از طریق پارامتر ‘dest’ در URL وارد صفحات میشوند، قبل از استفاده در تولید هدر HTTP Location در پاسخ 302 به درستی فیلتر نمیشوند.”
“بهطور خاص، برنامه به درستی کاراکترهای linefeed (LF) را فیلتر یا حذف نمیکند. این میتواند برای انجام حملات HTTP Response Splitting مورد سوءاستفاده قرار گیرد که به نوبه خود ممکن است حملات Reflected Cross-Site Scripting (XSS) و احتمالاً حملات دیگر را ممکن سازد.” “توجه: این بردار XSS بازتابشده ممکن است برای انجام حملات 1-کلیک Remote Code Execution (RCE) مورد سوءاستفاده قرار گیرد.” اگر هنوز بهروزرسانی امنیتی را اعمال نکردهاید، به شدت توصیه میشود که نسخه KerioControl 9.4.5 Patch 2 را که در تاریخ 31 ژانویه 2025 منتشر شده و شامل بهبودهای امنیتی اضافی است، نصب کنید.
