CVE-2024-52875

GFI Kerio Control, versões 9.2.5 a 9.4.5

Foi descoberta uma falha no GFI Kerio Control em que o parâmetro GET dest passado para as páginas “/nonauth/addCertException.cs”, “/nonauth/guestConfirm.cs” e “/nonauth/expiration.cs” não é devidamente sanitizado antes de ser usado para gerar um cabeçalho HTTP Location em uma resposta HTTP 302. Isso pode ser explorado para realizar ataques de redirecionamento aberto (Open Redirect) ou divisão de resposta HTTP (HTTP Response Splitting), o que, por sua vez, leva a um ataque de script entre sites refletido (XSS). A execução remota de comandos pode ser alcançada aproveitando o recurso de atualização na interface de administração. Mais de 12.000 instâncias do firewall GFI KerioControl estão expostas a essa vulnerabilidade crítica de execução remota de código. O número estimado de dispositivos potencialmente afetados em todo o mundo é superior a 23.800. Houve incidentes reais em que essa vulnerabilidade foi explorada, com hackers tentando roubar tokens CSRF de administrador e lançar ataques RCE com um clique.

Versões 9.2.5 a 9.4.5 do GFI KerioControl: atualize para a v9.4.5 Patch 1 e audite seus pontos de acesso de firewall imediatamente. Como solução temporária, considere restringir o acesso aos endpoints de API vulneráveis “/nonauth/addCertException.cs”, “/nonauth/guestConfirm.cs” e “/nonauth/expiration.cs” para minimizar o risco de exploração. Limite o acesso à interface e bloqueie ‘/admin’ e ‘/noauth’ até que o problema seja resolvido.