عوامل تهدید تلاش میکنند از نقص امنیتی اخیرا فاش شده با شناسه CVE-2024-52875 که بر فایروالهای GFI KerioControl تأثیر میگذارد، سوءاستفاده کنند و در صورت موفقیت، میتوانند به اجرای کد از راه دور (RCE) دست یابند.
این آسیبپذیری به حمله Carriage Return Line Feed (CRLF) اشاره دارد، که راه را برای تقسیم پاسخ HTTP هموار میکند و میتواند منجر به نقص Cross-Site Scripting (XSS) شود. اکسپلویت موفقیت آمیز از نقص RCE با یک کلیک به مهاجم اجازه میدهد تا با معرفی کاراکترهای carriage return (\r) و line feed (\n) ورودی های مخرب را به هِدرهای پاسخ HTTP تزریق کند. در واقع به دلیل پاکسازی نامناسب کاراکترهای LF در پارامتر «dest»، امکان دستکاری هدر HTTP و پاسخ از طریق پیلودهای تزریقی فراهم میشود.
نقص مذکور بر نسخههای 9.2.5 تا 9.4.5 KerioControl تأثیر میگذارد و در version 9.4.5 Patch 1 که 29 آذر منتشر شد برطرف شده است، همچنین کد اکسپلویت PoC آن نیز در دسترس قرار گرفته است. بر اساس آمار Censys، حدود 24 هزار KerioControl بر روی اینترنت قابل دسترس هستند که 17% از آنها در ایران قرار دارند.
https://www.bleepingcomputer.com/news/security/hackers-exploit-keriocontrol-firewall-flaw-to-steal-admin-csrf-tokens/
https://thehackernews.com/2025/01/critical-rce-flaw-in-gfi-keriocontrol.html
