CVE-2024-52875 è una vulnerabilità critica che interessa le versioni del firewall GFI KerioControl dalla 9.2.5 alla 9.4.5. Questa falla è stata attivamente sfruttata in ambienti reali, con diversi indirizzi IP dannosi associati all’exploit osservati da GreyNoise. Al 7 gennaio 2025, Censys ha riportato circa 23.862 istanze di GFI KerioControl esposte pubblicamente nel mondo, con una significativa concentrazione (17%) localizzata in Iran.
| Prodotto | Kerio-Connect |
| Data | 2025-01-10 10:11:51 |
| Informazioni | Fix Available, Active Exploitation |
Riassunto tecnico
La vulnerabilità risiede in diversi percorsi URI non autenticati dell’interfaccia web di KerioControl, inclusi /nonauth/addCertException.cs, /nonauth/guestConfirm.cs e /nonauth/expiration.cs. Questi endpoint non sanificano correttamente l’input utente passato tramite il parametro GET dest, non rimuovendo i caratteri line feed (LF). Questa mancanza consente ad attaccanti di eseguire attacchi di tipo HTTP response splitting, generando redirect aperti e cross-site scripting (XSS) riflessi. Un attaccante può creare un URL malevolo che, se cliccato da un amministratore autenticato, attiva il caricamento di un file .img dannoso tramite la funzionalità di aggiornamento firmware, ottenendo infine l’accesso root al sistema firewall.
Raccomandazioni
GFI Software ha risolto il problema nella versione KerioControl 9.4.5 Patch 1. Si consiglia fortemente agli utenti di aggiornare a questa versione o a una successiva per mitigare il rischio. Inoltre, è raccomandato limitare l’accesso all’interfaccia di gestione di KerioControl a reti e amministratori fidati, implementare una convalida rigorosa dell’input per prevenire l’iniezione di CRLF negli header HTTP e istruire gli utenti sui rischi legati al clic su link sospetti.