Más de doce mil firewall de queriocontrol GFI están expuestos a una vulnerabilidad para ejecutar un código crítico distante seguido como CVE-2024-52875.
Keriocontrol es una serie de seguridad de red que usan las pequeñas y medianas empresas para VPN, gestión de ancho de banda, informes y vigilancia, filtrado de tráfico, protección AV y prevención de intrusiones.
El defecto en cuestión fue descubierto a mediados de diciembre por el investigador de seguridad Egidio Romano (EGIX), quien demostró el potencial de ataque RCE en 1 clic.
GFI Software publicó una actualización de seguridad para el problema con la versión 9.4.5 Patch 1 el 19 de diciembre de 2024, pero tres semanas después, Según el censoMás de 23,800 instancias se mantuvieron vulnerables.
A principios del mes pasado, Graynoise reveló que había detectado intentos de explotación activos aprovechando la exploit de la prueba de concepto de Romano (POC), destinado a volar los tokens CSRF administrativos.
A pesar de la advertencia sobre la explotación activa, el servicio de monitoreo de amenazas de la Fundación Shadowserver Informes ahora Ver 12 2.229 Firewall de queriocontrol expuesto a ataques aprovechando el CVE-2024-52875.
Fuente: La Fundación Shadowserver
La mayoría de estos casos se encuentran en Irán, Estados Unidos, Italia, Alemania, Rusia, Kazajstán, Uzbekistán, Francia, Brasil e India.
Con la existencia de un Público POC para CVE-2024-52875Los requisitos operativos son bajos, lo que permite que incluso los piratas informáticos no calificados se unan a la actividad maliciosa.
“Entrada del usuario transmitida a estas páginas a través de”destrucción“Obtener el parámetro no se desinfecta correctamente antes de usarse para generar uno”Ubicación“Encabezado HTTP en una respuesta HTTP 302”, explica Egidio Romano.
“Más específicamente, la aplicación no filtra / elimina correctamente las características de la línea de la línea (LF). Esto se puede usar para llevar a cabo ataques de división de respuesta HTTP, lo que a su vez podría permitirte realizar scripts Inter-Sites reflejados (XSS) y posiblemente otros ataques.
“Nota: el vector XSS reflejado puede ser abusado para llevar a cabo ataques de ejecución de código distantes en 1 clic (RCE)”.
Si aún no ha aplicado la actualización de seguridad, se recomienda instalar keriocontrol Versión 9.4.5 Patch 2Publicado el 31 de enero de 2025, que contiene mejoras de seguridad adicionales.