威胁情报公司GreyNoise警告，黑客正利用GFI KerioControl防火墙的CVE-2024-52875漏洞进行攻击。该漏洞为CRLF注入漏洞，可导致HTTP响应拆分和反射型XSS攻击，进而实现一键远程代码执行。安全研究员指出，该漏洞源于未正确清理用户输入，并已发布PoC代码。受影响版本为9.2.5至9.4.5，意味着漏洞已存在约七年。GreyNoise已观察到多次利用尝试，该漏洞允许攻击者获取CSRF令牌，可能在特定条件下实现远程代码执行，风险极高。

🚨GFI KerioControl防火墙存在CVE-2024-52875高危漏洞，允许攻击者通过CRLF注入执行HTTP响应拆分攻击，进而导致反射型XSS攻击。

🛡️该漏洞源于GFI KerioControl未能正确清理用户输入，攻击者可利用此漏洞获取设备的CSRF令牌，并在特定条件下实现远程代码执行，获取防火墙的root shell权限。

⚠️该漏洞影响GFI KerioControl 9.2.5至9.4.5版本，已存在约七年，安全研究员已发布概念验证（PoC）代码，并被GreyNoise观察到多次利用尝试，风险极高。

HackerNews 编译，转载请注明出处：

威胁情报公司GreyNoise警告称，威胁行为者正在利用最近披露的GFI KerioControl防火墙漏洞，该漏洞可导致一键远程代码执行（RCE）。

GFI KerioControl是一款网络安全解决方案，提供防火墙功能和统一威胁管理能力，包括威胁检测和阻止、流量控制、入侵防御以及VPN功能。

被利用的漏洞编号为CVE-2024-52875，于12月19日发布了补丁，是一个CRLF注入漏洞，可被利用执行HTTP响应拆分攻击，进而导致反射型跨站脚本（XSS）攻击。

安全研究员埃吉迪奥·罗马诺于12月16日发布了该漏洞的详细技术文档，指出反射型XSS攻击向量可被利用执行一键RCE攻击。

罗马诺解释说，该问题源于GFI KerioControl中的多个HTTP响应拆分漏洞，这些漏洞之所以存在，是因为易受攻击的页面未能正确清理用户输入。

研究员评估认为，由于利用该漏洞获得RCE时可利用一个九年前就已存在的漏洞，且可能使攻击者在防火墙上部署root shell，因此该漏洞应被视为“高危”，CVSS评分为8.8。

罗马诺发布了针对该安全缺陷的概念验证（PoC）代码，并警告称，该漏洞影响GFI KerioControl 9.2.5至9.4.5版本，意味着该漏洞在软件中潜伏了大约七年。

本周，GreyNoise警告称，已观察到多次针对CVE-2024-52875的利用尝试，该漏洞“允许攻击者利用HTTP响应拆分和反射型跨站脚本获取设备的CSRF令牌，在特定条件下可能实现一键远程代码执行”。

 

---

消息来源：Security Week, 编译：zhongx； 

本文由 HackerNews.cc 翻译整理，封面来源于网络；  

转载请注明“转自 HackerNews.cc”并附上原文