Z3Er01

Nome do Software Vulnerável e Versões Afetadas: GFI Kerio Control versão 9.4.5 Descrição: Existe uma falha de bypass de autenticação devido à configuração de proxy padrão insegura e controle de acesso fraco no serviço GFIAgent. O proxy não transparente na porta TCP 3128 pode ser utilizado para encaminhar solicitações não autenticadas para serviços internos, contornando restrições do firewall e expondo endpoints de gerenciamento internos. Isso permite que atacantes não autenticados acessem o serviço GFIAgent nas portas 7995 e 7996, recuperem o UUID do appliance e emitam solicitações administrativas via proxy. A exploração resulta em acesso administrativo completo ao appliance Kerio Control. Recomendações: Para o GFI Kerio Control versão 9.4.5, considere desabilitar o proxy não transparente na porta TCP 3128 como uma solução temporária para prevenir a exploração. Restrinja o acesso ao serviço GFIAgent nas portas 7995 e 7996 para minimizar o risco de acesso não autorizado. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

Nome do Software Vulnerável e Versões Afetadas: GFI Kerio Control versão 9.4.5 Descrição: Uma vulnerabilidade de execução remota de código permite que atacantes com acesso administrativo façam upload e executem código arbitrário através do recurso de atualização de firmware. O mecanismo de atualização do sistema aceita arquivos .img não assinados, que podem ser modificados para incluir scripts maliciosos dentro dos componentes `upgrade.sh` ou da imagem de disco. Essas imagens de atualização modificadas não são validadas quanto à autenticidade ou integridade e são executadas pelo sistema após o upload, permitindo acesso root. Recomendações: Para o GFI Kerio Control versão 9.4.5, considere desativar o recurso de atualização de firmware até que um patch esteja disponível para prevenir o upload e a execução de código arbitrário. Restrinja o acesso ao mecanismo de atualização do sistema para minimizar o risco de exploração. Evite usar arquivos .img não assinados no recurso de atualização de firmware até que o problema seja resolvido. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.

Nome do Software Vulnerável e Versões Afetadas: GFI Kerio Control versão 9.4.5 Descrição: Uma vulnerabilidade de falta de autenticação no componente GFIAgent permite que atacantes remotos não autenticados realizem operações privilegiadas. O serviço GFIAgent expõe serviços HTTP nas portas 7995 e 7996 sem a devida autenticação. O manipulador "/proxy" na porta 7996 permite o encaminhamento arbitrário para endpoints administrativos quando fornecido um `Appliance UUID`, que pode ser recuperado pela porta 7995. Isso resulta em um bypass de autenticação completo, permitindo o acesso a APIs administrativas sensíveis. Recomendações: Para o GFI Kerio Control versão 9.4.5, considere desativar o serviço GFIAgent ou restringir o acesso às portas 7995 e 7996 até que um patch esteja disponível. Como solução temporária, evite utilizar o manipulador `/proxy` na porta 7996 para minimizar o risco de exploração. No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.