CVE-2024-52875 est une vulnérabilité critique affectant les versions du pare-feu GFI KerioControl de la 9.2.5 à la 9.4.5. Cette faille a été activement exploitée dans des environnements réels, avec plusieurs adresses IP malveillantes associées à l’exploit observées par GreyNoise. Au 7 janvier 2025, Censys a rapporté environ 23 862 instances de GFI KerioControl exposées publiquement dans le monde, avec une concentration significative (17 %) localisée en Iran.
| Produit | Kerio-Connect |
| Date | 2025-01-10 10:11:51 |
| Informations |
|
Résumé technique
La vulnérabilité réside dans plusieurs chemins URI non authentifiés de l’interface web de KerioControl, notamment /nonauth/addCertException.cs, /nonauth/guestConfirm.cs et /nonauth/expiration.cs. Ces points de terminaison ne nettoient pas correctement les entrées utilisateur transmises via le paramètre GET dest, ne supprimant pas les caractères de saut de ligne (LF). Ce manque permet aux attaquants d’exécuter des attaques de type HTTP response splitting, générant des redirections ouvertes et du cross-site scripting (XSS) réfléchi. Un attaquant peut créer une URL malveillante qui, si elle est cliquée par un administrateur authentifié, déclenche le chargement d’un fichier .img malveillant via la fonctionnalité de mise à jour du firmware, obtenant finalement un accès root au système du pare-feu.
Recommandations
GFI Software a corrigé le problème dans la version KerioControl 9.4.5 Patch 1. Il est fortement conseillé aux utilisateurs de mettre à jour vers cette version ou une version ultérieure afin d’atténuer le risque. De plus, il est recommandé de limiter l’accès à l’interface de gestion de KerioControl aux réseaux et administrateurs de confiance, de mettre en œuvre une validation rigoureuse des entrées pour prévenir l’injection de CRLF dans les en-têtes HTTP et de sensibiliser les utilisateurs aux risques liés au clic sur des liens suspects.
[Callforaction-THREAT-Footer]
Leave a Reply