Fecha de divulgación (fuente): 16 de diciembre de 2024
Fecha en que se comunicó que se había explotado activamente (fuente): 5 de enero de 2025
**Actualización** (8 de enero de 2025): Se han observado varias IPs maliciosas asociadas a CVE-2024-52875 en GreyNoiselo que indica intentos de explotación activos en la naturaleza.
CVE-2024-52875 es una vulnerabilidad que afecta a cortafuegos GFI KerioControl versiones 9.2.5 a 9.4.5. Por el momento, la National Vulnerability Database (NVD) no ha publicado ningún aviso oficial.
La vulnerabilidad reside en varias rutas URI de la interfaz web de KerioControl, concretamente:
- /nonauth/addCertException.cs
- /nonauth/guestConfirm.cs
- /nonauth/expiration.cs
Estas páginas desinfectan incorrectamente la entrada del usuario pasada a través del método dest parámetro GET, no eliminan los caracteres de salto de línea (LF). Este defecto permite a los atacantes realizar ataques de división de respuesta HTTP, lo que lleva a redirecciones abiertas y secuencias de comandos en sitios cruzados (XSS) reflejadas.
Se ha desarrollado una prueba de concepto que demuestra que un atacante puede crear una URL maliciosa. Cuando un administrador autenticado hace clic en este enlace, se activa la carga de un archivo malicioso .img malicioso a través de la función de actualización del firmware, lo que en última instancia otorga al atacante acceso root al sistema cortafuegos.
Este exploit se dirige a rutas URI no autenticadas (/nonauth/*), lo que lo hace accesible a actores de amenazas externos. Combinando esto con tácticas de ingeniería social, se puede engañar a un administrador para que haga clic en una URL maliciosa.
Campo |
Detalles |
CVE-ID |
CVE-2024-52875 (puntuación CVSS aún no publicada) |
Descripción de la vulnerabilidad |
Las entradas de usuario pasadas a los URI afectados a través del parámetro GET "dest" no se desinfectan correctamente antes de ser utilizadas para generar una cabecera HTTP "Location" en una respuesta HTTP 302. En concreto, la aplicación no filtra/elimina correctamente los caracteres de salto de línea (LF). Esto puede ser explotado para realizar ataques HTTP Response Splitting, permitiendo potencialmente XSS reflejado y otros ataques. Se puede abusar del vector XSS reflejado para realizar ataques RCE de 1 clic inyectando JavaScript malicioso en puntos finales no autenticados. Si un administrador accede a estos puntos finales, su sesión puede aprovecharse para cargar y ejecutar un archivo de firmware malicioso. |
Fecha de divulgación |
16 de diciembre de 2024 |
Activos afectados |
Afecta a las siguientes rutas URI de GFI KerioControl:
- /nonauth/addCertException.cs
- /nonauth/guestConfirm.cs
- /nonauth/expiration.cs
|
Versiones de software vulnerables |
GFI KerioControl versiones 9.2.5 a 9.4.5 |
¿PoC disponible? |
Karma(In)Security desarrolló un exploit PoC disponible aquí. |
Estado de explotación |
Se han observado varias IP maliciosas asociadas a CVE-2024-52875 en GreyNoiselo que indica intentos de explotación activos en la naturaleza. |
Estado del parche |
GFI Software ha solucionado este problema en la versión 9.4.5 Parche 1 de Kerio Control. Se recomienda encarecidamente a los usuarios actualizar a esta versión o posterior para mitigar el riesgo. |
Censys Perspectiva
En el momento de redactar este informe, Censys observó 23,862 instancias de GFI KerioControl expuestas. Una gran proporción de ellas (17%) están geolocalizadas en Irán. Tenga en cuenta que no todos los casos observados son vulnerables, ya que no disponemos de versiones específicas.
Mapa de instancias expuestas de GFI KerioControl
Censys Consulta de búsqueda:
services.software: (vendor="GFI" and product="Kerio Control") and not labels: {honeypot, tarpit}
Censys Consulta ASM:
host.services.software: (vendor="GFI" and product="Kerio Control") and not host.labels: {honeypot, tarpit}
Referencias