Pelaku ancaman mencoba mengambil keuntungan dari kelemahan keamanan yang baru-baru ini terungkap yang berdampak pada firewall GFI KerioControl yang, jika berhasil dieksploitasi, dapat memungkinkan pelaku kejahatan mencapai eksekusi kode jarak jauh (RCE).
Kerentanan yang dimaksud, CVE-2024-52875mengacu pada serangan injeksi carriage return line feed (CRLF), yang membuka jalan bagi pemisahan respons HTTP, yang kemudian dapat menyebabkan cacat skrip lintas situs (XSS).
Eksploitasi kelemahan RCE 1-klik yang berhasil memungkinkan penyerang memasukkan input berbahaya ke header respons HTTP dengan memasukkan karakter carriage return (\r) dan line feed (\n).
Cacat ini berdampak pada KerioControl versi 9.2.5 hingga 9.4.5, menurut peneliti keamanan Egidio Romano, yang menemukan dan melaporkan cacat tersebut pada awal November 2024.
Kelemahan pemisahan respons HTTP telah ditemukan di jalur URI berikut –
- /nonauth/addCertException.cs
- /nonauth/guestConfirm.cs
- /nonauth/kedaluwarsa.cs
“Input pengguna yang diteruskan ke halaman ini melalui parameter GET 'tujuan' tidak dibersihkan dengan benar sebelum digunakan untuk menghasilkan header HTTP 'Lokasi' dalam respons HTTP 302,” kata Romano.
“Secara khusus, aplikasi tidak memfilter/menghapus karakter line feed (LF) dengan benar. Hal ini dapat dieksploitasi untuk melakukan serangan HTTP Response Splitting, yang, pada gilirannya, memungkinkannya melakukan refleksi skrip lintas situs (XSS) dan mungkin serangan lainnya.”
Perbaikan kerentanan dirilis oleh GFI pada 19 Desember 2024, dengan versi 9.4.5 Patch 1. Eksploitasi proof-of-concept (PoC) telah tersedia.
Secara khusus, musuh dapat membuat URL berbahaya sehingga pengguna administrator yang mengkliknya akan memicu eksekusi PoC yang dihosting di server yang dikendalikan penyerang, yang kemudian mengunggah file .img berbahaya melalui fungsi peningkatan firmware, sehingga memberikan akses root ke URL tersebut. firewall.
Perusahaan intelijen ancaman GreyNoise telah melaporkan bahwa upaya eksploitasi yang menargetkan CVE-2024-52875 dimulai pada tanggal 28 Desember 2024, dengan serangan yang berasal dari tujuh alamat IP unik dari Singapura dan Hong Kong hingga saat ini.
Menurut Censys, ada lebih dari 23.800 instance GFI KerioControl yang terekspos internet. Mayoritas server ini berlokasi di Iran, Uzbekistan, Italia, Jerman, Amerika Serikat, Ceko, Belarus, Ukraina, Rusia, dan Brasil.
Sifat pasti dari serangan yang mengeksploitasi kelemahan tersebut saat ini belum diketahui. Pengguna KerioControl disarankan untuk mengambil langkah-langkah untuk mengamankan instance mereka sesegera mungkin untuk mengurangi potensi ancaman.
