Critical RCE Flaw in GFI KerioControl Allows Remote Code Execution via CRLF Injection
2025/01/09 TheHackerNews — GFI KerioControl ファイアウォールに、リモート・コード実行 (RCE) の脆弱性 CVE-2024-52875 が発見された。この脆弱性により、CRLF (carriage return line feed) インジェクションに起因するものであり、その結果として HTTP レスポンス分割が引き起こされ、最終的に XSS (cross-site scripting) の脆弱性につながる可能性があるという。
この脆弱性の悪用に成功した攻撃者は、改行文字 “\r“ と改行文字 “\n” を挿入することで、HTTP レスポンス・ヘッダーに悪意の入力を注入できる。
脆弱性 CVE-2024-52875 は、KerioControl バージョン 9.2.5〜9.4.5 に影響を与える。この脆弱性は、セキュリティ研究者である Egidio Romano により、2024年11月初旬に発見/報告された。
HTTP レスポンス分割の脆弱性は、以下の URI パスで発見されている。
- /nonauth/addCertException.cs
- /nonauth/guestConfirm.cs
- /nonauth/expiration.cs
Romano は、以下のように説明している:
Romano — “dest” GET パラメータ経由で、これらのページに渡されたユーザー入力は、302 HTTP レスポンスの “Location” HTTPヘッダーを生成する際に、適切に無害化されない。
具体的に言うと、アプリケーションにおいて、改行 (LF:line feed) 文字が正しくフィルタリング/削除されない。それにより、HTTP レスポンス分割攻撃で悪用される可能性があり、その結果として、反射型 XSS などの攻撃にいたる可能性がある。— Romano
すでに GFI は、2024年12月19日にバージョン 9.4.5 Patch をリリースし、この脆弱性に対処している。その一方では、脆弱性 CVE-2024-52875 に対する PoC エクスプロイト・コードも公開されている。
攻撃者が作成した悪意の URL を、管理者ユーザーがクリックすると、攻撃者がホストするサーバ上の PoC が実行されるという。続いて、この PoC は、ファームウェアのアップグレード機能を介して、悪意の “.img” ファイルをアップロードし、ファイアウォールへのルート・アクセスを取得する。
脆弱性 CVE-2024-52875 を標的とする悪用は、2024年12月28日に始まっていると、脅威インテリジェンス企業 GreyNoise は報告している。現時点において、それらの攻撃は、シンガポールと香港の7つのユニークな IP アドレスから発信されている。
また、23,800件以上の GFI KerioControl インスタンスがインターネットに公開されていることが、Censys の調査により判明している。これらのサーバの大半が設置されている地域は、イラン/ウズベキスタン/イタリア/ドイツ/米国/チェコ/ベラルーシ/ウクライナ/ロシア/ブラジルなどである。
現時点において、この脆弱性を悪用する攻撃の詳細は不明である。KerioControl のユーザーに推奨されるのは、潜在的な脅威を軽減するために、できるだけ早くインスタンスを保護する措置を講じることだ。
GFI KerioControl の脆弱性が FIX とのことです。ご利用のチームは、ご注意ください。このブログでは、初登場の GFI KerioControl なので、Wikipedia で調べたところ、「Kerio Technologies は 2001 年に設立されたが、それ以前の 1997年から、WinRoute Pro によりインターネット・セキュリティ市場に参入していた。この製品は、2002年2月1日まで Tiny Software により所有/保守されていた。その後、Tiny Software はソフトウェアの販売と開発を Kerio に移管し、開発者は Kerio ブランドの下で作業を続けることになった」と解説されていました。
IoT OT Security News 
You must be logged in to post a comment.