已在 GFI KerioControl 防火墙中发现一个严重的安全漏洞,编号为 CVE-2024-52875,受影响的版本为 9.2.5 至 9.4.5。这个漏洞可被利用来进行远程代码执行(RCE),已经引起了网络犯罪分子的高度关注,全球数千台未打补丁的系统目前正处于危险之中。该漏洞存在于 KerioControl Web 界面的几个无需身份验证的统一资源标识符(URI)路径中,包括 /nonauth/addCertException.cs、/nonauth/guestConfirm.cs 和 /nonauth/expiration.cs。这些页面未能正确清理通过 dest GET 参数传递的用户输入,使得攻击者能够在 HTTP 响应中注入换行符(LF)。这种不当的输入处理为 HTTP 响应拆分攻击打开了方便之门,可能导致开放式重定向和反射型跨站脚本攻击(XSS)。一个概念验证(PoC)漏洞利用示例展示了攻击者如何利用这一漏洞来执行恶意操作。具体而言,攻击者可以精心构造一个恶意 URL,当已认证的管理员点击该 URL 时,就会通过防火墙的固件升级功能触发恶意.img 文件的上传。这一过程最终会让攻击者获得系统的根权限。由于该漏洞可通过无需身份验证的 URI 路径进行利用,因此特别危险,因为外部威胁行为者可以将其与社会工程策略相结合,诱骗管理员点击恶意链接。全球影响及漏洞利用情况截至 2025 年 2 月 9 日,影之服务器基金会(The Shadowserver Foundation)报告称,全球有 12229 台未打补丁的 KerioControl 设备暴露在外。影之服务器基金会分享的一张热度图显示,北美、欧洲和亚洲广泛存在这一漏洞。该组织还在其蜜罐传感器中检测到针对这一特定漏洞的扫描活动,这表明威胁行为者正在积极尝试利用该漏洞。自 2025 年 2 月 5 日起,我们每天都在报告存在 CVE-2024-52875 漏洞的 GFI Kerio Control 防火墙设备,该漏洞可能被用于远程代码执行。相关数据已分享在https://t.co/qxv0Gv5ELc。2025 年 2 月 9 日,我们发现全球有 12229 台未打补丁的设备:https://t.co/LRMyelsSuL 图片网址:pic.twitter.com/9IOxPgmok4—— 影之服务器基金会(@Shadowserver),2025 年 2 月 10 日由于美国国家漏洞数据库(NVD)尚未发布官方公告,这进一步增加了漏洞缓解工作的复杂性。依赖这些防火墙的机构可能在遭遇数据泄露或收到像影之服务器这样的第三方安全监测机构的警报之前,都意识不到其中的风险。未打补丁的 KerioControl 防火墙面临被攻击者攻陷的风险,攻击者可能会完全控制这些设备。一旦漏洞被利用,这些防火墙可能会成为更广泛的网络入侵的入口,或者被用于对连接的系统发动进一步攻击。鉴于防火墙在保护机构网络安全方面的关键作用,成功利用该漏洞可能会导致数据泄露、勒索软件攻击或其他形式的网络犯罪。缓解措施及建议GFI 软件公司尚未发布针对 CVE-2024-52875 漏洞的公开补丁或公告。鉴于这一延迟,使用受影响版本 KerioControl 防火墙的机构应立即采取措施降低风险:1.限制访问:仅允许受信任的 IP 地址访问 Web 界面,以此限制访问范围。2.监控指标:检查防火墙系统上是否存在异常活动或被攻陷的迹象。3.应用更新:定期检查 GFI 公司发布的固件更新,并在更新可用时立即应用。4.培训管理员:对管理员进行培训,使其能够识别并避免点击可能利用该漏洞的可疑链接。影之服务器基金会已敦促各机构迅速采取行动,核实其系统是否存在漏洞。他们建议各机构监控其控制面板以接收警报,并应用任何可用的补丁。对 CVE-2024-52875 漏洞的利用凸显了及时进行补丁管理和采取主动安全措施的至关重要性。全球仍有超过 12000 台系统未打补丁,且已检测到野外存在的主动扫描行为,这一漏洞对依赖 GFI KerioControl 防火墙的机构构成了严重威胁。
