Vulnerabilidad crítica RCE en GFI KerioControl permite la ejecución remota de código a través de la inyección CRLF

Los actores maliciosos están intentando explotar una vulnerabilidad recientemente descubierta en los firewalls GFI KerioControl que, si se aprovecha con éxito, podría permitir la ejecución remota de código (RCE).

Esta falla, registrada como CVE-2024-52875, está relacionada con un ataque de inyección CRLF (retorno de carro y salto de línea), lo que facilita la división de respuestas HTTP y puede derivar en una vulnerabilidad de tipo XSS (cross-site scripting).

La explotación exitosa de esta debilidad de RCE con un solo clic permite que un atacante inyecte datos maliciosos en los encabezados de respuesta HTTP mediante el uso de caracteres \r y \n.

El investigador de seguridad Egidio Romano, quien identificó y reportó la vulnerabilidad a principios de noviembre de 2024, explicó que afecta a las versiones de KerioControl entre la 9.2.5 y la 9.4.5.

Se detectaron fallas de división de respuestas HTTP en los siguientes caminos URI:

  • /nonauth/addCertException.cs
  • /nonauth/guestConfirm.cs
  • /nonauth/expiration.cs

«Los datos introducidos por el usuario a través del parámetro GET ‘dest’ no se procesan adecuadamente antes de generar un encabezado HTTP ‘Location’ en una respuesta 302», señaló Romano.

«En particular, la aplicación no filtra ni elimina correctamente los caracteres de salto de línea (LF), lo que permite llevar a cabo ataques de división de respuestas HTTP que podrían derivar en XSS reflejado y otras posibles amenazas».

GFI publicó un parche para resolver este problema el 19 de diciembre de 2024, lanzando la versión 9.4.5 Patch 1. Desde entonces, se ha hecho público un exploit de prueba de concepto (PoC).

Un atacante podría generar una URL maliciosa que, al ser abierta por un administrador, active el PoC alojado en un servidor bajo control del atacante. Esto podría permitir la carga de un archivo malicioso .img a través de la funcionalidad de actualización de firmware, lo que concedería acceso root al firewall.

Según la firma de inteligencia de amenazas GreyNoise, los primeros intentos de explotar la vulnerabilidad CVE-2024-52875 ocurrieron el 28 de diciembre de 2024, con ataques originados desde siete direcciones IP distintas ubicadas en Singapur y Hong Kong.

El análisis de Censys indica que hay más de 23,800 instancias de GFI KerioControl expuestas a internet. La mayoría de estos servidores se encuentran en Irán, Uzbekistán, Italia, Alemania, Estados Unidos, República Checa, Bielorrusia, Ucrania, Rusia y Brasil.

Aunque aún no se ha determinado con exactitud cómo se están llevando a cabo los ataques, se aconseja a los usuarios de KerioControl que refuercen la seguridad de sus sistemas lo antes posible para reducir los riesgos.

Gracias por apoyar el libre conocimiento con tu donación!
Bitcoin: bc1q4sw9260twfcxatj8mjp7358cyvrf8whzlelyhj
Ethereum: 0xFb93D2a3c9d1A0b83EE629c2dE1725BCa192e581
Litecoin: LbFduJmHvQXcpCnwfUT7aJ4DYoWSL3iQw8
Dogecoin: D7QQVqNR5rk215A4zd2gyzV9P2bLQtZHFV
Transferencia bancaria en México:
Cuenta CLABE: 646180224401848086 Nombre: Masterhacks LATAM Banco: STP

Unete a nuestros grupos:
WhatsApp: https://chat.whatsapp.com/C8fqiz3aDDc58VRRd1vdrb
Telegram: https://t.me/masterhacks_net
Canal de WhatsApp https://whatsapp.com/channel/0029VaBBLCn5vKAH9NOWCl3K

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *