Kritieke RCE-fout in GFI KerioControl maakt uitvoering van code op afstand mogelijk via CRLF-injectie

Bedreigingsactoren proberen misbruik te maken van een onlangs onthuld beveiligingslek dat gevolgen heeft voor de firewalls van GFI KerioControl en dat, indien succesvol uitgebuit, kwaadwillende actoren in staat zou kunnen stellen om externe code-uitvoering (RCE) uit te voeren.

De kwetsbaarheid in kwestie, CVE-2024-52875verwijst naar een Carriage Return Line Feed (CRLF)-injectieaanval, die de weg vrijmaakt voor het splitsen van HTTP-reacties, wat vervolgens zou kunnen leiden tot een cross-site scripting (XSS)-fout.

Succesvol misbruik van de 1-click RCE-fout stelt een aanvaller in staat kwaadaardige invoer in HTTP-antwoordheaders te injecteren door het introduceren van harde return-tekens (r) en line feed-tekens (n).

De fout heeft gevolgen voor KerioControl versies 9.2.5 tot en met 9.4.5, aldus beveiligingsonderzoeker Egidio Romano, die de fout begin november 2024 ontdekte en rapporteerde.

De fouten bij het splitsen van HTTP-reacties zijn ontdekt in de volgende URI-paden:

  • /nonauth/addCertException.cs
  • /nonauth/guestConfirm.cs
  • /nonauth/expiration.cs

“Gebruikersinvoer die via de ‘dest’ GET-parameter naar deze pagina’s wordt gestuurd, wordt niet goed opgeschoond voordat deze wordt gebruikt om een ​​’Location’ HTTP-header te genereren in een 302 HTTP-antwoord,’ zei Romano.

“In het bijzonder filtert/verwijdert de applicatie line feed (LF)-tekens niet correct. Dit kan worden misbruikt om HTTP Response Splitting-aanvallen uit te voeren, wat het op zijn beurt mogelijk zou kunnen maken om gereflecteerde cross-site scripting (XSS) uit te voeren en mogelijk andere aanvallen.”

Op 19 december 2024 heeft GFI een oplossing voor het beveiligingslek uitgebracht met versie 9.4.5 Patch 1. Sindsdien is er een proof-of-concept (PoC)-exploit beschikbaar gesteld.

Concreet zou een tegenstander een kwaadaardige URL kunnen maken, zodat een beheerder die erop klikt, de uitvoering van de PoC activeert die wordt gehost op een door de aanvaller bestuurde server, die vervolgens een kwaadaardig .img-bestand uploadt via de firmware-upgradefunctionaliteit, waardoor root-toegang wordt verleend aan de firewall.

Bedreigingsinformatiebedrijf GreyNoise heeft gemeld dat exploitatiepogingen gericht op CVE-2024-52875 op 28 december 2024 begonnen, waarbij de aanvallen tot nu toe afkomstig waren van zeven unieke IP-adressen uit Singapore en Hong Kong.

Volgens Censys zijn er meer dan 23.800 GFI KerioControl-instanties blootgesteld aan internet. Het merendeel van deze servers bevindt zich in Iran, Oezbekistan, Italië, Duitsland, de Verenigde Staten, Tsjechië, Wit-Rusland, Oekraïne, Rusland en Brazilië.

De exacte aard van de aanvallen waarbij gebruik wordt gemaakt van de fout is momenteel niet bekend. Gebruikers van KerioControl wordt geadviseerd stappen te ondernemen om hun instances zo snel mogelijk te beveiligen om potentiële bedreigingen te beperken.

Thijs Van der Does