CVE-2024-52875 ist eine kritische Schwachstelle, die GFI KerioControl Firewall-Versionen von 9.2.5 bis 9.4.5 betrifft. Diese Sicherheitslücke wurde aktiv in realen Umgebungen ausgenutzt, wobei GreyNoise verschiedene bösartige IP-Adressen identifiziert hat, die mit dem Exploit in Verbindung stehen. Zum 7. Januar 2025 meldete Censys weltweit etwa 23.862 öffentlich zugängliche GFI KerioControl-Instanzen, mit einer signifikanten Konzentration (17 %) im Iran.
| Produkt | Kerio-Connect |
| Datum | 10.01.2025 10:11:51 |
| Informationen |
|
Technische Zusammenfassung
Die Schwachstelle liegt in verschiedenen nicht authentifizierten URI-Pfaden der KerioControl-Weboberfläche, darunter /nonauth/addCertException.cs, /nonauth/guestConfirm.cs und /nonauth/expiration.cs. Diese Endpunkte bereinigen die über den GET-Parameter dest übergebene Benutzereingabe nicht ordnungsgemäß und entfernen keine Zeilenvorschubzeichen (LF). Dieser Mangel ermöglicht es Angreifern, HTTP-Response-Splitting-Angriffe durchzuführen, was zu offenen Redirects und reflektiertem Cross-Site Scripting (XSS) führt. Ein Angreifer kann eine bösartige URL erstellen, die, wenn sie von einem authentifizierten Administrator angeklickt wird, das Hochladen einer schädlichen .img-Datei über die Firmware-Update-Funktion auslöst und letztendlich Root-Zugriff auf das Firewall-System gewährt.
Empfehlungen
GFI Software hat das Problem in der Version KerioControl 9.4.5 Patch 1 behoben. Benutzern wird dringend empfohlen, auf diese oder eine neuere Version zu aktualisieren, um das Risiko zu mindern. Darüber hinaus wird empfohlen, den Zugriff auf die Verwaltungsoberfläche von KerioControl auf vertrauenswürdige Netzwerke und Administratoren zu beschränken, eine strikte Eingabevalidierung zu implementieren, um CRLF-Injection in HTTP-Header zu verhindern, und Benutzer über die Risiken beim Klicken auf verdächtige Links aufzuklären.
[Callforaction-THREAT-Footer]
Leave a Reply