พบ KerioControl firewall instance ของ GFI กว่า 12,000 รายการ มีความเสี่ยงต่อการถูกโจมตีด้วยช่องโหว่การเรียกใช้คำสั่งที่เป็นอันตรายจากระยะไกล (RCE) ที่มีหมายเลข CVE-2024-52875
KerioControl คือ Network Security Suite ที่ใช้สำหรับธุรกิจขนาดเล็ก และขนาดกลาง สำหรับการใช้งานฟีเจอร์ต่าง ๆ ดังนี้ VPNs, Bandwidth management, Reporting and monitoring, Traffic filtering, AV protection และ Intrusion prevention
CVE-2024-52875 (คะแนน CVSS 8.8 ความรุนแรงระดับ High) เป็นช่องโหว่การเรียกใช้คำสั่งที่เป็นอันตรายจากระยะไกล (RCE) ใน Kerio Control ของ GFI ซึ่งเกิดจากพารามิเตอร์ "dest" GET ที่ส่งไปยัง pages /nonauth/addCertException.cs และ /nonauth/guestConfirm.cs และ /nonauth/expiration.cs ไม่ได้รับการตรวจสอบที่ถูกต้อง ก่อนที่จะนำไปใช้สร้าง Location HTTP header ใน 302 HTTP response ซึ่งทำให้สามารถถูกใช้เพื่อทำการโจมตีแบบ Open Redirect หรือ HTTP Response Splitting ซึ่งจะนำไปสู่ Reflected Cross-Site Scripting (XSS) เพื่อเรียกใช้คำสั่งที่เป็นอันตรายจากระยะไกล โดยส่งผลกระทบต่อ Kerio Control เวอร์ชัน 9.2.5 ถึง 9.4.5
ช่องโหว่ดังกล่าวถูกค้นพบโดยโดยนักวิจัยด้านความปลอดภัย Egidio Romano (EgiX) ในช่วงกลางเดือนธันวาคม 2024 ที่แสดงให้เห็นถึงการโจมตีแบบ 1-click RCE ที่เป็นอันตราย
ต่อมา GFI Software ได้ออกแพตซ์อัปเดตด้านความปลอดภัยสำหรับช่องโหว่ดังกล่าวด้วยเวอร์ชัน 9.4.5 แพตช์ 1 เมื่อวันที่ 19 ธันวาคม 2024 แต่สามสัปดาห์หลังจากที่มีการออกแพตช์ตามข้อมูลของ Censys พบว่ายังคงมีอินสแตนซ์มากกว่า 23,800 รายการที่มีความเสี่ยงต่อการโจมตีด้วยช่องโหว่ดังกล่าว
รวมถึงในเดือนมกราคม 2025 ทาง Greynoise เปิดเผยว่าได้ตรวจพบความพยายามโจมตีโดยใช้ชุดสาธิตการโจมตีช่องโหว่ proof-of-concept (PoC) ของ Romano เพื่อขโมย admin CSRF tokens
ทั้งนี้ PoC ของ CVE-2024-52875 มีข้อกำหนดในการโจมตีต่ำ ทำให้ Hacker ที่มีทักษะต่ำก็สามารถนำ PoC มาใช้ในการโจมตีได้
แม้จะมีคำเตือนเกี่ยวกับการโจมตีช่องโหว่ดังกล่าว Shadowserver Foundation บริการตรวจสอบภัยคุกคาม ได้ออกรายงานล่าสุดว่าพบ KerioControl firewalls จำนวนกว่า 12,229 รายการที่มีความเสี่ยงที่อาจถูกโจมตีจากช่องโหว่ CVE-2024-52875 ซึ่งส่วนใหญ่อยู่ในอิหร่าน, สหรัฐอเมริกา, อิตาลี, เยอรมนี, รัสเซีย, คาซัคสถาน, อุซเบกิสถาน, ฝรั่งเศส, บราซิล และอินเดีย
GFI Software แจ้งเตือนว่าหากยังไม่ได้ติดตั้งการอัปเดตด้านความปลอดภัย ขอแนะนำให้ทำการติดตั้ง KerioControl เวอร์ชัน 9.4.5 Patch 2 ซึ่งเปิดตัวเมื่อวันที่ 31 มกราคม 2025 ซึ่งมีการปรับปรุงด้านความปลอดภัยเพิ่มเติม
ที่มา : bleepingcomputer
You must be logged in to post a comment.