CVE-2024-52875 es una vulnerabilidad crítica que afecta a las versiones del firewall GFI KerioControl desde la 9.2.5 hasta la 9.4.5. Esta falla ha sido explotada activamente en entornos reales, con diversas direcciones IP maliciosas asociadas al exploit observadas por GreyNoise. Al 7 de enero de 2025, Censys informó sobre aproximadamente 23,862 instancias de GFI KerioControl expuestas públicamente en todo el mundo, con una concentración significativa (17%) localizada en Irán.
| Producto | Kerio-Connect |
| Fecha | 2025-01-10 10:11:51 |
| Información |
|
Resumen técnico
La vulnerabilidad reside en diversas rutas URI no autenticadas de la interfaz web de KerioControl, incluyendo /nonauth/addCertException.cs, /nonauth/guestConfirm.cs y /nonauth/expiration.cs. Estos endpoints no sanitizan correctamente la entrada del usuario pasada a través del parámetro GET dest, al no eliminar los caracteres de salto de línea (LF). Esta carencia permite a los atacantes ejecutar ataques de tipo HTTP response splitting, generando redirecciones abiertas y cross-site scripting (XSS) reflejado. Un atacante puede crear una URL maliciosa que, si es clicada por un administrador autenticado, activa la carga de un archivo .img malicioso a través de la funcionalidad de actualización de firmware, obteniendo finalmente acceso root al sistema del firewall.
Recomendaciones
GFI Software ha resuelto el problema en la versión KerioControl 9.4.5 Patch 1. Se recomienda encarecidamente a los usuarios actualizar a esta versión o a una posterior para mitigar el riesgo. Además, se recomienda limitar el acceso a la interfaz de gestión de KerioControl a redes y administradores de confianza, implementar una validación rigurosa de la entrada para prevenir la inyección de CRLF en los encabezados HTTP e instruir a los usuarios sobre los riesgos relacionados con hacer clic en enlaces sospechosos.
[Callforaction-THREAT-Footer]