安全研究人员发现，超过1.2万个GFI KerioControl防火墙实例暴露于一个关键的远程代码执行（RCE）漏洞（CVE-2024-52875）。该漏洞存在于KerioControl 9.2.5至9.4.5版本中，攻击者可通过构造恶意URL，诱导管理员点击，利用防火墙固件升级功能上传恶意文件，从而获得root权限。GFI已发布补丁修复该漏洞，建议用户尽快升级至最新版本，并加强对网络流量和异常行为的监控。该漏洞影响广泛，主要集中在伊朗、美国、意大利、德国、俄罗斯等地。

🚨 **高危漏洞预警：** CVE-2024-52875漏洞影响KerioControl 9.2.5至9.4.5版本，CVSS评分高达9.8，属于高危漏洞，需高度重视。

🛡️ **漏洞原理与利用：** 攻击者利用HTTP响应拆分攻击（HTTP Response Splitting）导致的反射型跨站脚本（XSS）和RCE，通过诱导管理员点击恶意URL，上传恶意文件，最终获取防火墙的root权限。

🌍 **影响范围广泛：** 全球有12,229个KerioControl防火墙实例暴露于该漏洞，主要集中在伊朗、美国、意大利、德国、俄罗斯等国家，中小企业用户面临严重威胁。

✅ **安全建议：** GFI已发布9.4.5 Patch 1修复该漏洞，建议用户尽快升级至最新版本9.4.5 Patch 2，并加强对网络流量和异常行为的监控，防范潜在攻击。

HackerNews 编译，转载请注明出处：

据安全研究人员报告，超过1.2万个GFI KerioControl防火墙实例暴露于一个关键的远程代码执行（RCE）漏洞（CVE-2024-52875）。该漏洞被发现于2024年12月中旬，由安全研究员Egidio Romano（EgiX）首次披露。

KerioControl是一款广泛应用于中小企业的网络安全套件，集成了VPN、带宽管理、流量过滤、报告监控、防病毒保护和入侵防御等功能。然而，该漏洞的存在使得攻击者能够通过单次点击实现远程代码执行，进而获取防火墙的root权限。

漏洞细节

漏洞编号：CVE-2024-52875CVSS评分：9.8（高危）影响版本：KerioControl 9.2.5至9.4.5漏洞类型：HTTP响应拆分攻击（HTTP Response Splitting）导致的反射型跨站脚本（XSS）和RCE。

漏洞利用方式

攻击者通过构造恶意URL，诱导管理员点击，利用防火墙固件升级功能上传恶意文件，从而获得root权限。该漏洞利用门槛低，甚至非专业黑客也可实施攻击。

影响范围

据The Shadowserver Foundation报告，目前全球有12,229个KerioControl防火墙实例暴露于该漏洞，主要集中在伊朗、美国、意大利、德国、俄罗斯、哈萨克斯坦、乌兹别克斯坦、法国、巴西和印度。

安全建议

尽快更新：GFI已于2024年12月19日发布9.4.5 Patch 1修复该漏洞，建议用户尽快升级至最新版本9.4.5 Patch 2（2025年1月31日发布），以获得额外的安全增强。加强监控：鉴于该漏洞已被广泛利用，建议用户加强对网络流量和异常行为的监控。

该漏洞的发现和利用再次凸显了及时修补安全漏洞的重要性，尤其是对于关键的网络安全设备。

 

---

消息来源：The Hacker News, 编译：zhongx； 

本文由 HackerNews.cc 翻译整理，封面来源于网络；  

转载请注明“转自 HackerNews.cc”并附上原文