Les pirates tentent d’exploiter CVE-2024-52875, une vulnérabilité critique d’injection CRLF qui conduit à des attaques d’exécution de code à distance (RCE) en 1 clic dans le produit pare-feu GFI KerioControl.
KerioControl est une solution de sécurité réseau conçue pour les petites et moyennes entreprises qui combine pare-feu, VPN, gestion de la bande passante, reporting et surveillance, filtrage du trafic, protection ANTIVIRUS et prévention des intrusions.
Le 16 décembre 2024, le chercheur en sécurité Egidio Romano (EgiX) a publié un article détaillé sur CVE-2024-52875, démontrant comment un problème de fractionnement de réponse HTTP apparemment de faible gravité pouvait dégénérer en RCE en 1 clic.
La vulnérabilité, qui affecte les versions 9.2.5 à 9.4.5 de KerioControl, est due à une désinfection incorrecte des caractères de saut de ligne (LF) dans le paramètre ‘dest’, permettant la manipulation de l’en-tête HTTP et de la réponse via des charges utiles injectées.
Du JavaScript malveillant injecté dans les réponses est exécuté sur le navigateur de la victime, entraînant l’extraction de cookies ou de jetons CSRF.
Un attaquant pourrait utiliser le jeton CSRF d’un utilisateur administrateur authentifié pour télécharger un malveillant .Fichier IMG contenant un script shell de niveau racine, exploitant la fonctionnalité de mise à niveau Kerio, qui ouvre un shell inversé pour l’attaquant.
Exploitation active
Hier, la plate-forme d’analyse des menaces Grey noise a détecté des tentatives d’exploitation ciblant CVE-2024-52875 à partir de quatre adresses IP distinctes, éventuellement en utilisant le code d’exploitation PoC présenté par Romano.
L’activité est marquée comme « malveillante » par la plateforme de surveillance des menaces, ce qui indique que les tentatives d’exploitation sont attribuées à des acteurs de la menace plutôt qu’à des chercheurs sondant les systèmes.
Hier également, le Recensement a signalé 23 862 instances de contrôle GFI Kerio exposées à Internet, bien qu’il ne soit pas clair combien d’entre elles sont vulnérables à CVE-2024-52875 est inconnu.
Le 19 décembre 2024, GFI Software a publié la version 9.4.5 Patch 1 pour le produit Kerio Control, qui corrige la vulnérabilité . Il est recommandé aux utilisateurs d’appliquer le correctif dès que possible.
Si l’application de correctifs n’est pas possible pour le moment, les administrateurs doivent limiter l’accès à l’interface de gestion Web de KerioControl aux adresses IP de confiance et désactiver l’accès public aux pages ‘/admin’ et ‘/noauth’ via des règles de pare-feu.
La surveillance des tentatives d’exploitation ciblant les paramètres « dest » et la configuration de délais d’expiration de session plus courts sont également des mesures d’atténuation efficaces.