ハッカーは、GFI KerioControl ファイアウォール製品に存在する 1 クリックによるリモートコード実行 (RCE) 攻撃につながる重要な CRLF インジェクションの脆弱性 CVE-2024-52875 を悪用しようとしています。
KerioControlは、ファイアウォール、VPN、帯域幅管理、レポートとモニタリング、トラフィックフィルタリング、AV保護、侵入防御を組み合わせた中小企業向けに設計されたネットワークセキュリティソリューションです。
2024年12月16日、セキュリティ研究者のEgidio Romano氏(EgiX)は、CVE-2024-52875に関する詳細な記事を発表し、一見重大性の低いHTTPレスポンス分割の問題が、1クリックRCEにエスカレートする可能性を示しました。
この脆弱性は、KerioControl バージョン 9.2.5 から 9.4.5 に影響し、’dest’ パラメータ内の改行 (LF) 文字のサニタイズが不適切なため、注入されたペイロードを介して HTTP ヘッダとレスポンスを操作することができます。
レスポンスに注入された悪意のある JavaScript が被害者のブラウザ上で実行され、クッキーや CSRF トークンが抽出されます。
攻撃者は、認証された管理者ユーザーのCSRFトークンを使用して、ルートレベルのシェルスクリプトを含む悪意のある.IMGファイルをアップロードし、Kerioのアップグレード機能を活用することができます。
![iFrame created by injected code to steal the CSRF tokens](https://www.bleepstatic.com/images/news/u/1220909/2025/January/iframe.jpg)
ソース: karmainsecurity.com
能動的な悪用
昨日、脅威スキャンプラットフォームGreynoiseは、4つの異なるIPアドレスからCVE-2024-52875を標的とした悪用の試みを検出した。
![Observed exploitation attempts](https://www.bleepstatic.com/images/news/u/1220909/2025/January/greynoise.jpg)
Source:Greynoise
この活動は、脅威監視プラットフォームによって「悪意がある」とマークされており、悪用の試みがシステムを調査している研究者ではなく、脅威行為者に起因することを示している。
また昨日、Censys は、インターネットに公開された GFI KerioControl インスタンス 23,862 件を報告したが、そのうちの何件が CVE-2024-52875 の脆弱性であるかは不明である。
![Location of Kerio Control firewalls](https://www.bleepstatic.com/images/news/u/1220909/2025/January/map.jpg)
ソースはこちら:Censys
GFI Softwareは2024年12月19日、この脆弱性に対処したKerioControl製品のバージョン9.4.5 Patch 1をリリースした。ユーザーは、できるだけ早く修正プログラムを適用することを推奨します。
パッチ適用が現時点で不可能な場合、管理者は、KerioControlのWeb管理インターフェイスへのアクセスを信頼できるIPアドレスに制限し、ファイアウォールルールを介して「/admin」および「/noauth」ページへのパブリックアクセスを無効にする必要があります。
また、「dest」パラメータを標的とした悪用の試みを監視し、セッションの有効期限を短く設定することも効果的な緩和策です。
Comments