Date de la divulgation (source) : 16 décembre 2024
Date de déclaration d'exploitation active (source) : 5 janvier 2025
**Mise à jour** (8 janvier 2025) : Plusieurs IP malveillantes associées à CVE-2024-52875 ont été observées dans la base de données GreyNoisece qui indique des tentatives d'exploitation actives dans la nature.
CVE-2024-52875 est une vulnérabilité affectant les pare-feux les pare-feux GFI KerioControl versions 9.2.5 à 9.4.5. Pour l'instant, aucun avis officiel n'a été publié par la National Vulnerability Database (NVD).
La vulnérabilité réside dans plusieurs chemins URI de l'interface web de KerioControl, en particulier :
- /nonauth/addCertException.cs
- /nonauth/guestConfirm.cs
- /nonauth/expiration.cs
Ces pages ne vérifient pas correctement les données transmises par l'utilisateur via l'option dest GET, en ne supprimant pas les caractères de saut de ligne (LF). Cette faille permet aux attaquants de réaliser des attaques de fractionnement de réponse HTTP, conduisant à des redirections ouvertes et à du cross-site scripting (XSS) réfléchi.
Une démonstration de faisabilité a été développée, démontrant qu'un attaquant peut créer une URL malveillante. Lorsqu'un administrateur authentifié clique sur ce lien, il déclenche le téléchargement d'un fichier malveillant de type .img malveillant via la fonctionnalité de mise à jour du micrologiciel, ce qui permet à l'attaquant d'accéder au système de pare-feu en tant que super-utilisateur.
Cet exploit cible les chemins URI non authentifiés (/nonauth/*), ce qui les rend accessibles à des acteurs externes. En combinant cela avec des tactiques d'ingénierie sociale, un administrateur peut être amené à cliquer sur une URL malveillante.
| Champ d'application |
Détails |
| CVE-ID |
CVE-2024-52875 (le score CVSS n'a pas encore été publié) |
| Description de la vulnérabilité |
Les données transmises par l'utilisateur aux URI concernés via le paramètre GET "dest" ne sont pas correctement nettoyées avant d'être utilisées pour générer un en-tête HTTP "Location" dans une réponse HTTP 302. Plus précisément, l'application ne filtre pas/supprime pas correctement les caractères de saut de ligne (LF). Ceci peut être exploité pour effectuer des attaques de fractionnement de réponse HTTP, permettant potentiellement un XSS réfléchi et d'autres attaques. Le vecteur XSS réfléchi peut être exploité pour effectuer des attaques RCE en 1 clic en injectant du JavaScript malveillant dans des points de terminaison non authentifiés. Si un administrateur accède à ces points de terminaison, sa session peut être exploitée pour télécharger et exécuter un fichier firmware malveillant. |
| Date de la divulgation |
16 décembre 2024 |
| Actifs touchés |
Affecte les chemins URI de GFI KerioControl suivants :
- /nonauth/addCertException.cs
- /nonauth/guestConfirm.cs
- /nonauth/expiration.cs
|
| Versions de logiciels vulnérables |
GFI KerioControl versions 9.2.5 à 9.4.5 |
| PoC disponible ? |
Karma(In)Security a développé un exploit PoC disponible ici. |
| Statut d'exploitation |
Plusieurs adresses IP malveillantes associées à CVE-2024-52875 ont été observées dans la base de données GreyNoisece qui indique des tentatives d'exploitation actives dans la nature. |
| Statut du patch |
GFI Software a résolu ce problème dans la version 9.4.5 Patch 1 de Kerio Control. Il est fortement conseillé aux utilisateurs d'effectuer une mise à jour vers cette version ou une version ultérieure afin de réduire le risque. |
Censys Perspective
Au moment de la rédaction du présent document, Censys observait 23,862 instances GFI KerioControl exposées. Une grande partie d'entre elles (17%) sont géolocalisées en Iran. Il est à noter que toutes les instances observées ne sont pas vulnérables car nous ne disposons pas de versions spécifiques.
Carte des instances exposées de GFI KerioControl
Censys Requête de recherche :
services.software: (vendor="GFI" and product="Kerio Control") and not labels: {honeypot, tarpit}
Censys Requête ASM :
host.services.software: (vendor="GFI" and product="Kerio Control") and not host.labels: {honeypot, tarpit}
Références
