Több mint 12 000 GFI KerioControl tűzfal van kitéve a CVE-2024-52875 azonosítón nyomon követhető kritikus RCE (Remote Code Execution – távoli kódfuttatás) sebezhetőségnek. A KerioControl egy hálózatbiztonsági csomag, amelyet a kis- és középvállalkozások használnak VPN- ekhez, sávszélesség kezeléshez, riportáláshoz és monitorozáshoz, forgalomszűréshez, vírusvédelemhez és behatolásmegelőzéshez.
A sérülékenységet Egidio Romano (EgiX) biztonsági kutató fedezte fel, aki demonstrálta az egy kattintással végrehajtható RCE támadások lehetőségét. Mivel a CVE-2024-52875 PoC exploitja nyilvánosan elérhető, így a még tapasztalatlan hackerek is bekapcsolódhatnak a rosszindulatú tevékenységbe. Egidio Romano szerint: A „dest” GET paraméteren keresztül ezekre az oldalakra továbbított felhasználói bemenet nincs megfelelően tisztítva, mielőtt egy „Location” HTTP fejlécet generálna egy 302-es HTTP válaszban. A konkrét probléma az, hogy az alkalmazás nem szűri ki megfelelően a sorvége (LF) karaktereket. Ez lehetővé teszi az HTTP Response Splitting támadásokat, amelyek további Reflected Cross-Site Scripting (XSS) és egyéb támadások végrehajtásához vezethetnek.
A GFI Software 2024. december 19-én kiadott egy biztonsági frissítést a 9.4.5-ös verzió első patch-ére, de három héttel később a Censys szerint több mint 23 800 példány továbbra is sebezhető maradt. A múlt hónap elején a Greynoise aktív kihasználási kísérleteket észlelt, amelyek Romano proof-of-concept (PoC) exploitját használják adminisztrátori CSRF tokenek ellopására.
Amennyiben még nem tette meg, ajánlott a KerioControl 9.4.5-ös verzió második patch-ének telepítése, amelyet 2025. január 31-én adtak ki, és további biztonsági frissítéseket tartalmaz.
