Hacker

12,000以上のGFI KerioControlファイアウォールインスタンスが、CVE-2024-52875として追跡されている重大なリモートコード実行の脆弱性にさらされています。

KerioControlは、中小企業がVPN、帯域幅管理、レポーティングとモニタリング、トラフィックフィルタリング、AV保護、侵入防御のために使用するネットワークセキュリティスイートである。

問題の欠陥は、セキュリティ研究者のEgidio Romano氏(EgiX)によって12月中旬に発見され、危険な1クリックRCE攻撃の可能性が示された。

GFI Softwareは、2024年12月19日にバージョン9.4.5 Patch 1でこの問題に対するセキュリティ・アップデートをリリースしたが、Censysによると、その3週間後、23,800以上のインスタンスに脆弱性が残っていたという。

先月初め、Greynoiseは、管理者のCSRFトークンを盗むことを目的としたRomanoの概念実証(PoC)エクスプロイトを活用したアクティブな悪用の試みを検出したことを明らかにした。

アクティブなエクスプロイトに関する警告にもかかわらず、脅威モニタリング・サービスのThe Shadowserver Foundationは、現在、12,229台のKerioControlファイアウォールがCVE-2024-52875を活用した攻撃にさらされていると報告しています。

Location of exposed instances
暴露されたインスタンスの場所
情報源The Shadowserver Foundation

これらのインスタンスのほとんどは、イラン、米国、イタリア、ドイツ、ロシア、カザフスタン、ウズベキスタン、フランス、ブラジル、インドにあります。

CVE-2024-52875の公開PoCが存在するため、悪用のための要件は低く、熟練していないハッカーでも悪意のある活動に参加することができます。

「GETパラメータ“dest“を介してこれらのページに渡されたユーザー入力は、302 HTTPレスポンスの“Location“HTTPヘッダを生成するために使用される前に、適切にサニタイズされていません

「具体的には、アプリケーションは改行文字(LF)を正しくフィルタリング/除去しません。これは、HTTPレスポンス分割攻撃に悪用される可能性があり、その結果、リフレクト・クロスサイト・スクリプティング(XSS)や、おそらくその他の攻撃を実行できる可能性があります。

“注意:Reflected XSS vector は、1-click Remote Code Execution (RCE) 攻撃を実行するために悪用される可能性があります。”

まだセキュリティアップデートを適用していない場合は、2025年1月31日にリリースされたKerioControlバージョン9.4.5 Patch 2をインストールすることを強くお勧めします。