GFI KerioControl'deki kritik RCE kusuru, CRLF enjeksiyonu yoluyla uzaktan kod yürütülmesine izin verir
Tehdit aktörleri, GFI KerioControl güvenlik duvarlarını etkileyen ve başarılı bir şekilde istismar edilirse kötü niyetli aktörlerin uzaktan kod yürütme (RCE) elde etmesine izin verebilecek yakın zamanda açıklanan bir güvenlik açığından yararlanmaya çalışıyor.
Söz konusu güvenlik açığı, CVE-2024-52875, daha sonra siteler arası komut dosyası çalıştırma (XSS) kusuruna yol açabilecek HTTP yanıt bölmenin önünü açan bir satır başı satır besleme (CRLF) enjeksiyon saldırısına atıfta bulunur.
1 tıklama RCE kusurunun başarılı bir şekilde kötüye kullanılması, bir saldırganın satır başı (\r) ve satır besleme (\n) karakterleri ekleyerek HTTP yanıt başlıklarına kötü amaçlı girdiler enjekte etmesine izin verir.
Kusuru Kasım 2024'ün başlarında keşfeden ve bildiren güvenlik araştırmacısı Egidio Romano'ya göre, kusur KerioControl 9.2.5 ila 9.4.5 sürümlerini etkiliyor.
HTTP yanıtı bölme kusurları aşağıdaki URI yollarında ortaya çıkarılmıştır:
- /nonauth/addCertException.cs
- /nonauth/guestConfirm.cs
- /nonauth/expiration.cs
Romano, "Bu sayfalara 'dest' GET parametresi aracılığıyla iletilen kullanıcı girişi, bir 302 HTTP yanıtında bir 'Konum' HTTP başlığı oluşturmak için kullanılmadan önce düzgün bir şekilde sterilize edilmiyor" dedi.
"Özellikle, uygulama satır besleme (LF) karakterlerini doğru şekilde filtrelemez/kaldırmaz. Bu, HTTP Yanıt Bölme saldırılarını gerçekleştirmek için kullanılabilir ve bu da yansıtılan siteler arası komut dosyası çalıştırma (XSS) ve muhtemelen diğer saldırıları gerçekleştirmesine izin verebilir."
Güvenlik açığı için bir düzeltme, GFI tarafından 19 Aralık 2024'te 9.4.5 Yama 1 sürümüyle yayınlandı. O zamandan beri bir kavram kanıtı (PoC) açığı kullanıma sunuldu.
Özellikle, bir saldırgan, üzerine tıklayan bir yönetici kullanıcının saldırgan tarafından kontrol edilen bir sunucuda barındırılan PoC'nin yürütülmesini tetikleyeceği ve ardından ürün yazılımı yükseltme işlevi aracılığıyla kötü amaçlı bir .img dosyası yükleyerek güvenlik duvarına kök erişimi sağlayacak şekilde kötü amaçlı bir URL oluşturabilir.
Tehdit istihbarat firması GreyNoise, CVE-2024-52875'i hedef alan istismar girişimlerinin 28 Aralık 2024'te başladığını ve saldırıların bugüne kadar Singapur ve Hong Kong'dan yedi benzersiz IP adresinden kaynaklandığını bildirdi.
Censys'e göre, 23.800'den fazla internete maruz GFI KerioControl örneği var. Bu sunucuların çoğu İran, Özbekistan, İtalya, Almanya, Amerika Birleşik Devletleri, Çekya, Beyaz Rusya, Ukrayna, Rusya ve Brezilya'da bulunmaktadır.
Kusurdan yararlanan saldırıların kesin doğası şu anda bilinmemektedir. KerioControl kullanıcılarına, potansiyel tehditleri azaltmak için örneklerini mümkün olan en kısa sürede güvence altına almak için adımlar atmaları tavsiye edilir.
Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.
0 Yorum
Yorum Gönder
Benzer Haberler
Google Project Zero Researcher, Samsung Cihazlarını Hedefleyen Sıfır Tıklama İstismarını Ortaya Çıkardı
SonicWall, Palo Alto Expedition ve Aviatrix denetleyicilerinde önemli güvenlik açıkları düzeltildi
Yeni Banshee Stealer Varyantı, Apple'ın XProtect'ten İlham Alan Şifrelemesi ile Antivirüsü Atlıyor
GFI KerioControl'deki kritik RCE kusuru, CRLF enjeksiyonu yoluyla uzaktan kod yürütülmesine izin verir
CISA, Aktif Sömürünün Ortasında Mitel ve Oracle Sistemlerindeki Kritik Kusurları İşaretledi
Araştırmacılar Illumina iSeq 100 DNA Dizileyicilerindeki Büyük Güvenlik Açığını Ortaya Çıkardı
Moxa, kullanıcıları hücresel ve güvenli yönlendiricilerdeki yüksek önem derecesine sahip güvenlik açıklarına karşı uyarır
Araştırmacılar, imza atlama ve kod yürütmeyi sağlayan çekirdek güvenlik açığını ortaya çıkardı