Datum der Offenlegung (Quelle): Dezember 16, 2024
Datum der Meldung als aktiv ausgenutzt (Quelle): Januar 5, 2025
**Aktualisierung** (8. Januar 2025): Mehrere bösartige IPs, die mit CVE-2024-52875 in Verbindung stehen, wurden in GreyNoisebeobachtet, was auf aktive Ausnutzungsversuche in freier Wildbahn hindeutet.
CVE-2024-52875 ist eine Sicherheitslücke, die die GFI KerioControl Firewalls der Versionen 9.2.5 bis 9.4.5. Bisher wurde von der National Vulnerability Database (NVD) noch kein offizielles Advisory veröffentlicht.
Die Schwachstelle befindet sich in mehreren URI-Pfaden der KerioControl-Weboberfläche, insbesondere:
- /nonauth/addCertException.cs
- /nonauth/guestConfirm.cs
- /nonauth/ablauf.cs
Diese Seiten bereinigen Benutzereingaben, die über die dest GET-Parameter übergeben werden, entfernen nicht die Zeilenvorschubzeichen (LF). Dieser Fehler ermöglicht es Angreifern, HTTP-Antwort-Splitting-Angriffe durchzuführen, was zu offenen Umleitungen und reflektiertem Cross-Site-Scripting (XSS) führt.
Es wurde ein Proof-of-Concept (PoC) Exploit entwickelt, der zeigt, dass ein Angreifer eine bösartige URL erstellen kann. Wenn ein authentifizierter Administrator auf diesen Link klickt, wird der Upload einer bösartigen .img Datei über die Firmware-Upgrade-Funktionalität, wodurch der Angreifer schließlich Root-Zugriff auf das Firewall-System erhält.
Dieser Exploit zielt auf nicht authentifizierte URI-Pfade (/nonauth/*), was ihn für externe Bedrohungsakteure zugänglich macht. Durch die Kombination mit Social-Engineering-Taktiken kann ein Administrator dazu verleitet werden, auf eine bösartige URL zu klicken.
| Feld |
Einzelheiten |
| CVE-ID |
CVE-2024-52875 (CVSS-Score noch nicht veröffentlicht) |
| Schwachstelle Beschreibung |
Benutzereingaben, die über den GET-Parameter "dest" an betroffene URIs übergeben werden, werden nicht ordnungsgemäß bereinigt, bevor sie zur Erzeugung eines HTTP-Headers "Location" in einer 302-HTTP-Antwort verwendet werden. Insbesondere filtert/entfernt die Anwendung Zeilenvorschubzeichen (LF) nicht korrekt. Dies kann ausgenutzt werden, um HTTP-Response-Splitting-Angriffe durchzuführen, die möglicherweise Reflected XSS und andere Angriffe ermöglichen. Der Reflected XSS-Vektor kann zur Durchführung von 1-Klick-RCE-Angriffen missbraucht werden, indem bösartiges JavaScript in nicht authentifizierte Endpunkte injiziert wird. Wenn ein Administrator auf diese Endpunkte zugreift, kann seine Sitzung zum Hochladen und Ausführen einer bösartigen Firmware-Datei missbraucht werden. |
| Datum der Offenlegung |
16. Dezember 2024 |
| Betroffene Vermögenswerte |
Betroffen sind die folgenden GFI KerioControl URI-Pfade:
- /nonauth/addCertException.cs
- /nonauth/guestConfirm.cs
- /nonauth/ablauf.cs
|
| Anfällige Software-Versionen |
GFI KerioControl Versionen 9.2.5 bis 9.4.5 |
| PoC verfügbar? |
Karma(In)Security hat einen PoC-Exploit entwickelt, der hier. |
| Verwertungsstatus |
Mehrere bösartige IPs, die mit CVE-2024-52875 in Verbindung stehen, wurden in GreyNoisebeobachtet, was auf aktive Ausnutzungsversuche in freier Wildbahn hindeutet. |
| Patch-Status |
GFI Software hat dieses Problem in Kerio Control Version 9.4.5 Patch 1 behoben. Benutzern wird dringend empfohlen, auf diese oder eine neuere Version zu aktualisieren, um das Risiko zu minimieren. |
Censys Blickwinkel
Zum Zeitpunkt der Erstellung dieses Berichts beobachtete Censys 23,862 exponierte GFI KerioControl-Instanzen. Ein großer Teil dieser Instanzen (17%) befinden sich in der Region Iran. Beachten Sie, dass nicht alle beobachteten Instanzen anfällig sind, da uns keine spezifischen Versionen zur Verfügung stehen.
Karte der exponierten GFI KerioControl-Instanzen
Censys Search Abfrage:
services.software: (vendor="GFI" and product="Kerio Control") and not labels: {honeypot, tarpit}
Censys ASM-Abfrage:
host.services.software: (vendor="GFI" and product="Kerio Control") and not host.labels: {honeypot, tarpit}
Referenzen
