Более 12 000 устройств KerioControl под угрозой критической уязвимости
современном мире кибербезопасность становится все более актуальной проблемой, и недавно была выявлена крайне опасная уязвимость в межсетевых экранах GFI KerioControl. Уязвимость, получившая идентификатор CVE-2024-52875, затрагивает версии 9.2.5–9.4.5 и позволяет злоумышленникам удаленно выполнять код (RCE – Remote Code Execution). В настоящее время киберпреступники активно используют этот эксплойт, что ставит под угрозу тысячи устройств по всему миру.
Исследователи обнаружили, что уязвимость присутствует в следующих неаутентифицированных URI веб-интерфейса KerioControl:
/nonauth/addCertException.cs/nonauth/guestConfirm.cs/nonauth/expiration.cs
Эти страницы некорректно фильтруют данные, передаваемые пользователем через параметр dest в запросе GET. В результате злоумышленники могут внедрять символы перевода строки (LF – Line Feed) в HTTP-ответы, что делает возможными атаки разделения HTTP-ответов (HTTP response splitting). Это, в свою очередь, приводит к открытым редиректам (open redirects) и отраженному межсайтовому скриптингу (XSS).
Доказательство концепции (PoC – Proof of Concept), представленное исследователями, показывает, что злоумышленники могут создать вредоносную ссылку, которая при нажатии администратором активирует механизм обновления прошивки и загружает вредоносный .img файл. В результате злоумышленник получает права root на устройстве.
Поскольку эксплойт работает через неаутентифицированные URI, киберпреступники могут использовать методы социальной инженерии для заманивания администраторов в ловушку.
По данным The Shadowserver Foundation на 9 февраля 2025 года, в мире насчитывается 12 229 уязвимых и незащищенных устройств KerioControl. Опубликованная Shadowserver тепловая карта показывает широкое распространение уязвимости в Северной Америке, Европе и Азии.
Организация также зафиксировала активные попытки сканирования данной уязвимости через свои honeypot-сенсоры, что свидетельствует об уже идущих атаках.
К сожалению, Национальная база данных уязвимостей (NVD – National Vulnerability Database) еще не выпустила официальный совет или обновление по CVE-2024-52875. Это может привести к тому, что многие организации не осознают уровень угрозы до момента взлома их систем.
Если уязвимость будет успешно использована, злоумышленники смогут полностью контролировать устройство, получить доступ к корпоративным сетям или использовать компрометированные устройства для атак на другие системы. Это может привести к утечке данных, атакам программ-вымогателей или другим видам киберпреступлений.
На данный момент GFI Software не выпустила официального патча или предупреждения по CVE-2024-52875. В связи с этим организациям, использующим затронутые версии KerioControl, следует принять следующие меры:
- Ограничение доступа: Разрешить доступ к веб-интерфейсу только с доверенных IP-адресов.
- Мониторинг активности: Регулярно проверять журналы безопасности и следить за подозрительной активностью.
- Обновления ПО: Следить за выходом новых версий прошивки от GFI Software и устанавливать их незамедлительно.
- Обучение администраторов: Информировать специалистов по безопасности о возможных фишинговых атаках и вредоносных ссылках.
Shadowserver призывает организации проверить свои системы на наличие данной уязвимости. Для этого рекомендуется использовать мониторинговые платформы и отслеживать возможные признаки компрометации.
Уязвимость CVE-2024-52875 является еще одним напоминанием о важности своевременного обновления систем безопасности. Поскольку межсетевые экраны играют ключевую роль в защите корпоративных сетей, их компрометация может привести к серьезным последствиям.
На данный момент более 12 000 уязвимых устройств остаются открытыми в интернете, что делает их легкой мишенью для злоумышленников. В связи с этим организациям необходимо как можно скорее обновить свои устройства или принять альтернативные меры защиты.
С учетом растущей сложности технологической среды своевременное обновление программного обеспечения и постоянное усиление мер кибербезопасности должны стать приоритетом для любой организации.
