یک آسیب پذیری حیاتی با شماره CVE-2024-52875 در فایروالهای GFI KerioControl شناسایی شده که روی نسخه های 9.2.5 تا 9.4.5 اثر می گذارد.
این آسیب پذیری که می تواند برای اجرای کد از راه دور مورد بهره برداری قرار بگیرد در حال حاضر توجه زیادی از سمت مهاجمان سایبری گرفته و هزاران سیستم وصله نشده در سراسر جهان در معرض خطر هستند.
این آسیب پذیری در مسیرهای URL احراز هویت نشده مختلفی از رابط کاربری وبی KerioControl شامل /nonauth/addCertException.cs, /nonauth/guestConfirm.cs, و /nonauth/expiration.cs. قرار دارد.
این صفحات نمی توانند ورودی های کاربر ارسال شده از طریق پارامتر dest GET را به درستی پاکسازی کنند و به مهاجمان اجازه می دهد تا کاراکترهای LF را به پاسخ های HTTP تزریق کنند. این مدیریت نامناسب ورودی، دری را برای حملات splitting پاسخ HTTP باز می کند، که می تواند منجر به تغییر مسیرهای باز و XSS شود.
یک اکسپلویت PoC نشان میدهند که چگونه مهاجمان می توانند از این آسیب پذیری برای اجرای اقدامات مخرب استفاده کنند. به طور خاص یک مهاجم می تواند URL مخربی بسازد که با کلیک کردن توسط یک ادمین تایید شده، بارگذاری یک فایل .img مخرب را از طریق عملکرد ارتقا فریم ور فایروال آغاز کند و این فرآیند در نهایت به مهاجم امکان دسترسی root به یک سیستم را میدهد.
دسترسی ب این اکسپلویت از طریق مسیرهای URL احراز هویت نشده آن را به طور خاصی خطرناک می کند چرا که عوامل تهدید خارجی می توانند آن را با تاکتیک های مهندسی اجتماعی ترکیب کرده و مدیران شبکه را فریب دهند تا روی لینکهای مخرب کلیک کنند.
اثر جهانی و بهره برداری
از 9 فوریه 2025 مرکز Shadowserver گزارش داد که 12229 نمونه KerioControl اصلاح نشده در سطح جهانی وجود دارد. وجود این آسیب پذیری ها در سراسر آمریکای شمالی، اروپا و آسیا را برجسته تر است. همچنین طی بررسی های صورت گرفته در این مرکز مشخص شده است که این آسیب پذیری تحت بهره برداری فعال توسط مهاجمان است.
با توجه به عدم وجود یک دستورالعمل رسمی ی تلاش ها برای کاهش این آسیب پذیری پیچیده تر شده است. سازمانهایی که از این فایروالها استفاده میکنند ممکن است تا زمانی وقوع یک نقض یا دریافت هشدار از Third partyهایی مانند Shadowserver از خطر بیاطلاع بمانند.
فایروال های KerioControl اصلاح نشده می توانند توسط مهاجمان در معرض خطر قرار گرفته و مهاجم قادر است کنترل کامل دستگاه ها را به دست آورد. پس از بهره برداری، این فایروال ها می توانند به عنوان نقاط ورودی برای نفوذ گسترده تر به شبکه عمل کنند یا برای انجام حملات بیشتر علیه سیستم های متصل مورد استفاده قرار گیرند.
با توجه به ماهیت حیاتی فایروال ها در ایمن سازی شبکه های سازمانی، بهره برداری موفقیت آمیز می تواند منجر به نقض داده ها، حملات باج افزاری یا جرایم سایبری دیگر شود.
اقدامات کاهشی و توصیه ها:
شرکت GFI هنوز وصله یا دستورالعملی برای این آسیب پذیری منتشر نکرده است. با توجه به این تاخیر سازمانهایی که از نسخه هایی آسیب پذیری این فایروال استفاده می کنند بهتر است اقدامات زیر را انجام دهند:
1- محدودسازی دسترسی: دسترسی به رابط کاربری وبی را تنها به آدرسهای IP تایید شده، محدود نمایند.
2- نظارت بر شاخص ها: فعالیت های غیرمعمول یا مشخصه هایی که نشان میدهد سیستم های فایروال در معرض خطر هستند را بررسی نمایند.
3- نصب آپدیت ها: مرتبا آپدیت های فریم ور را از GFI چک کرده و در اولین فرصت آنها را دانلود و نصب نمایند.
4- آموزش به ادمین ها: به ادمین های شبکه آموزش های لازم در خصوص تشخیص و عدم کلیک روی لینک های مشکوکی که امکان بهره برداری از این آسیب پذیری را دارند، بدهند.
Shadowserver از سازمانها خواسته است که در اولین فرصت بررسی کنند که آیا سیستمهایشان آسیبپذیر هستند یا خیر. آنها توصیه می کنند که داشبورد خود را برای هرگونه هشداری زیر نظر داشته باشند و هر وصله موجود را اعمال کنند.
بهره برداری از این آسیب پذیری اهمیت حیاتی مدیریت وصله به موقع و اقدامات امنیتی پیشگیرانه را برجسته می کند. با وجود بیش از 12000 سیستم که هنوز در سطح جهانی وصله نشده اند و اسکن فعال شناسایی شده، این آسیب پذیری می تواند تهدیدی جدی برای سازمان هایی باشد که از فایروال های GFI KerioControl استفاده می کنند.
منبع:
cybersecuritynews.com
