Hackers exploit KerioControl firewall flaw to steal admin CSRF tokens

ハッカーは、GFI KerioControl ファイアウォール製品に存在する 1 クリックによるリモートコード実行 (RCE) 攻撃につながる重要な CRLF インジェクションの脆弱性 CVE-2024-52875 を悪用しようとしています。

KerioControlは、ファイアウォール、VPN、帯域幅管理、レポートとモニタリング、トラフィックフィルタリング、AV保護、侵入防御を組み合わせた中小企業向けに設計されたネットワークセキュリティソリューションです。

2024年12月16日、セキュリティ研究者のEgidio Romano氏(EgiX)は、CVE-2024-52875に関する詳細な記事を発表し、一見重大性の低いHTTPレスポンス分割の問題が、1クリックRCEにエスカレートする可能性を示しました。

この脆弱性は、KerioControl バージョン 9.2.5 から 9.4.5 に影響し、’dest’ パラメータ内の改行 (LF) 文字のサニタイズが不適切なため、注入されたペイロードを介して HTTP ヘッダとレスポンスを操作することができます。

レスポンスに注入された悪意のある JavaScript が被害者のブラウザ上で実行され、クッキーや CSRF トークンが抽出されます。

攻撃者は、認証された管理者ユーザーのCSRFトークンを使用して、ルートレベルのシェルスクリプトを含む悪意のある.IMGファイルをアップロードし、Kerioのアップグレード機能を活用することができます。

iFrame created by injected code to steal the CSRF tokens
CSRFトークンを盗むために注入されたコードによって作成されたiframe
ソース: karmainsecurity.com

能動的な悪用

昨日、脅威スキャンプラットフォームGreynoiseは、4つの異なるIPアドレスからCVE-2024-52875を標的とした悪用の試みを検出した

Observed exploitation attempts
観測された悪用の試み
Source:Greynoise

この活動は、脅威監視プラットフォームによって「悪意がある」とマークされており、悪用の試みがシステムを調査している研究者ではなく、脅威行為者に起因することを示している。

また昨日、Censys は、インターネットに公開された GFI KerioControl インスタンス 23,862 件を報告したが、そのうちの何件が CVE-2024-52875 の脆弱性であるかは不明である。

Location of Kerio Control firewalls
Kerio Control ファイアウォールの場所
ソースはこちら:Censys

GFI Softwareは2024年12月19日、この脆弱性に対処したKerioControl製品のバージョン9.4.5 Patch 1をリリースした。ユーザーは、できるだけ早く修正プログラムを適用することを推奨します。

パッチ適用が現時点で不可能な場合、管理者は、KerioControlのWeb管理インターフェイスへのアクセスを信頼できるIPアドレスに制限し、ファイアウォールルールを介して「/admin」および「/noauth」ページへのパブリックアクセスを無効にする必要があります。

また、「dest」パラメータを標的とした悪用の試みを監視し、セッションの有効期限を短く設定することも効果的な緩和策です。