On iki binden fazla GFI Kerio kontrol güvenlik duvarı örneği, CVE-2024-52875 olarak izlenen kritik bir uzaktan kod yürütme güvenlik açığına maruz kalır.
Keriocontrol, küçük ve orta ölçekli işletmelerin VPN'ler, bant genişliği yönetimi, raporlama ve izleme, trafik filtreleme, AV koruması ve saldırı önleme için kullandığı bir ağ güvenlik paketidir.
Söz konusu kusur Aralık ayı ortasında, tehlikeli 1 tıklamış RCE saldırıları potansiyelini gösteren güvenlik araştırmacısı Egidio Romano (EGIX) tarafından keşfedildi.
GFI Software, 19 Aralık 2024'te 9.4.5 Yama 1 sürümüyle ilgili bir güvenlik güncellemesi yayınladı, ancak üç hafta sonra Censys'e göre, 23.800'den fazla örnek savunmasız kaldı.
Geçen ayın başlarında Greynoise, Romano'nun yönetici CSRF tokenlerini çalmayı amaçlayan Kavram Kanıtı (POC) istismarından yararlanan aktif sömürü girişimlerini tespit ettiğini açıkladı.
Aktif sömürü ile ilgili uyarıya rağmen, tehdit izleme hizmeti Shadowserver Foundation, CVE-2024-52875'ten yararlanan saldırılara maruz kalan 12.229 Keriocontrol güvenlik duvarlarını gördüğünü bildiriyor.
Bu örneklerin çoğu İran, ABD, İtalya, Almanya, Rusya, Kazakistan, Özbekistan, Fransa, Brezilya ve Hindistan'da bulunmaktadır.
CVE-2024-52875 için halka açık bir POC'nin varlığıyla, sömürü gereksinimleri düşüktür ve vasıfsız bilgisayar korsanlarının bile kötü niyetli etkinliğe katılmasına izin verir.
Egidio Romano, "Bu sayfalara" DEST "GET aracılığıyla bu sayfalara geçirilen kullanıcı girişi, 302 HTTP yanıtında bir" konum "HTTP başlığı oluşturmak için kullanılmadan önce düzgün bir şekilde sterilize edilmez."
"Özellikle, uygulama LineFeed (LF) karakterlerini doğru bir şekilde filtrelemez/kaldırmaz. Bu, HTTP yanıt bölme saldırıları gerçekleştirmek için kullanılabilir, bu da yansıtılan siteler arası senaryo (XSS) ve muhtemelen diğer saldırıları gerçekleştirmeye izin verebilir."
"Not: Yansıtılan XSS vektörü, 1 tıklamayla uzaktan kod yürütme (RCE) saldırıları yapmak için istismar edilebilir."
Güvenlik güncellemesini henüz uygulamadıysanız, 31 Ocak 2025'te yayınlanan ve ek güvenlik geliştirmeleri içeren Keriocontrol sürüm 9.4.5 Yama 2'yi yüklemeniz şiddetle tavsiye edilir.
Bilgisayar korsanları, Microsoft IIS sunucularını ihlal etmek için CityWorks Rce Bug'dan Swoveit
Netgear, kullanıcıları kritik WiFi yönlendirici güvenlik açıklarını yamaya uyarlar
Laravel Admin Paketi Voyager tek tıklamaya karşı savunmasız RCE Kusur
QNAP, NAS Backup, Recovery uygulamasında altı RSYNC güvenlik açığını düzeltiyor
Kod yürütme saldırılarına maruz kalan 660.000'den fazla RSYNC sunucusu
Kaynak: Bleeping Computer