Vulnerabilidade do GFI KerioControl explorada

Agentes de ameaças estão explorando uma vulnerabilidade recente no firewall GFI KerioControl, que permite a execução remota de código (RCE) com apenas um clique. A falha, identificada como CVE-2024-52875, foi corrigida em 19 de dezembro, mas já está sendo ativamente explorada, de acordo com alertas da empresa de inteligência de ameaças GreyNoise. Essa vulnerabilidade afeta as versões do GFI KerioControl de 9.2.5 a 9.4.5, deixando milhares de sistemas expostos a ataques.

Leia também
NIST formaliza 3 padrões de criptografia pós quântica
Workshop ensina a monitorar deep e dark web

O GFI KerioControl é uma solução de segurança de rede que combina funcionalidades de firewall com recursos de gerenciamento de ameaças, como controle de tráfego, detecção de intrusões e uma VPN. O problema explorado é uma falha de injeção CRLF (Carriage Return Line Feed), que pode ser usada para realizar ataques de divisão de resposta HTTP, levando a ataques de XSS (Cross-Site Scripting) refletidos. Segundo o pesquisador de segurança Egidio Romano, essa vulnerabilidade pode ser explorada para executar um ataque de RCE com um único clique.

A falha ocorre devido a múltiplas vulnerabilidades de divisão de resposta HTTP no GFI KerioControl, onde páginas vulneráveis não tratam adequadamente a entrada do usuário. Romano classifica o defeito como de alta gravidade, com uma pontuação CVSS de 8,8, uma vez que pode permitir que invasores implantem um shell root no firewall. A vulnerabilidade permaneceu oculta no software por cerca de sete anos, afetando as versões entre 9.2.5 e 9.4.5 do GFI KerioControl.

A GreyNoise observou várias tentativas de exploração direcionadas ao CVE-2024-52875, permitindo que invasores recuperassem o token CSRF (Cross-Site Request Forgery) do dispositivo. Com isso, poderiam executar código remotamente ao convencer um administrador autenticado a clicar em uma URL maliciosa. Essa URL acionaria o upload de um arquivo .img malicioso, aproveitando a funcionalidade de atualização de firmware para fornecer acesso root ao sistema, com o vetor de ataque acessível externamente por caminhos URI não autenticados (/nonauth/*).

Pesquisas indicam que cerca de 24.000 instâncias do GFI KerioControl estão expostas à internet, muitas das quais localizadas no Irã. Contudo, ainda não está claro quantas delas são vulneráveis. Os usuários afetados são aconselhados a atualizar para a versão 9.4.5 Patch 1 do GFI KerioControl, que corrige a vulnerabilidade e fortalece o sistema contra explorações XSS. A atualização é crucial para proteger os sistemas contra possíveis ataques, especialmente considerando o risco de comprometimento remoto das contas administrativas.