Plus de douze mille instances de pare-feu GFI KerioControl sont exposées à une vulnérabilité critique d’exécution de code à distance répertoriée sous le numéro CVE-2024-52875.
KerioControl est une suite de sécurité réseau que les petites et moyennes entreprises utilisent pour les VPN, la gestion de la bande passante, les rapports et la surveillance, le filtrage du trafic, la protection antivirus et la prévention des intrusions.
La faille en question a été découverte à la mi-décembre par le chercheur en sécurité Egidio Romano (EgiX), qui a démontré le potentiel de dangereuses attaques RCE en 1 clic.
GFI Software a publié une mise à jour de sécurité pour le problème avec la version 9.4.5 Patch 1 le 19 décembre 2024, mais trois semaines plus tard, selon Censys, plus de 23 800 instances restaient vulnérables.
Au début du mois dernier, Greynoise a révélé qu’elle avait détecté des tentatives d’exploitation actives exploitant l’exploit de preuve de concept (PoC) de Romano, visant à voler des jetons CSRF d’administration.
Malgré l’avertissement concernant une exploitation active, le service de surveillance des menaces Shadowserver Foundation rapporte maintenant avoir vu 12 229 pare-feu KerioControl exposés à des attaques exploitant CVE-2024-52875.
La plupart de ces instances sont situées en Iran, aux États-Unis, en Italie, en Allemagne, en Russie, au Kazakhstan, en Ouzbékistan, en France, au Brésil et en Inde.
Avec l’existence d’un PoC public pour CVE-2024-52875, les exigences d’exploitation sont faibles, permettant même aux pirates informatiques non qualifiés de se joindre à l’activité malveillante.
« Les entrées utilisateur transmises à ces pages via le paramètre GET « dest » ne sont pas correctement nettoyées avant d’être utilisées pour générer un en-tête HTTP « Location » dans une réponse HTTP 302″, explique Egidio Romano.
« Plus précisément, l’application ne filtre/supprime pas correctement les caractères de saut de ligne (LF). Cela peut être exploité pour effectuer des attaques de fractionnement de réponse HTTP, qui à leur tour pourraient permettre d’effectuer des Scripts Intersites réfléchis (XSS) et éventuellement d’autres attaques. »
« REMARQUE: le vecteur XSS réfléchi peut être utilisé de manière abusive pour effectuer des attaques d’exécution de code à distance (RCE) en 1 clic. »
Si vous n’avez pas encore appliqué la mise à jour de sécurité, il est fortement conseillé d’installer KerioControl version 9.4.5 Patch 2, publiée le 31 janvier 2025, qui contient des améliorations de sécurité supplémentaires.