Мечта хакеров: как CVE-2024-52875 стала идеальным инструментом для кибератак

GFI KerioControl CVE-2024-52875 RCE XSS Shadowserver Greynoise межсетевой экран уязвимость активная эксплуатация
Мечта хакеров: как CVE-2024-52875 стала идеальным инструментом для кибератак
GFI KerioControl CVE-2024-52875 RCE XSS Shadowserver Greynoise межсетевой экран уязвимость активная эксплуатация

Всего одна брешь в системе — и тысячи сетей становятся лёгкой добычей.

image

Более 12 тысяч межсетевых экранов GFI KerioControl до сих пор остаются уязвимыми перед критической уязвимостью CVE-2024-52875 , позволяющей удалённое выполнение кода (RCE). Несмотря на то, что патч был выпущен ещё в декабре, проблема остаётся актуальной, а киберпреступники активно её эксплуатируют.

KerioControl — это комплексная система сетевой безопасности, широко используемая малым и средним бизнесом. Она обеспечивает VPN, фильтрацию трафика, антивирусную защиту, мониторинг и управление пропускной способностью. Однако активная эксплуатация вышеописанной уязвимости ставит под угрозу безопасность тысяч организаций.

Брешь в защите была выявлена в декабре исследователем безопасности Эджидио Романо (EgiX), который продемонстрировал возможность проведения атак с удалённым выполнением кода всего в один клик. Проблема связана с недостаточной очисткой пользовательского ввода в параметре dest, что позволяет злоумышленникам внедрять вредоносные HTTP-заголовки и выполнять атаки Reflected XSS.

GFI Software выпустила исправление в версии 9.4.5 Patch 1 ещё 19 декабря 2024 года, однако даже три недели спустя более 23 800 серверов оставались уязвимыми . Несмотря на предупреждения, компании не спешат с обновлением: тысячи экземпляров KerioControl до сих пор доступны для атак.

По данным Greynoise, в январе начались активные попытки эксплуатации уязвимости. Хакеры использовали публично доступный PoC-код для кражи CSRF-токенов администраторов. 10 февраля специалисты из Shadowserver сообщили о 12 229 скомпрометированных устройствах, находящихся в зонах риска.

Большая часть уязвимых экземпляров KerioControl расположена в Иране, США, Италии, Германии, России, Казахстане, Узбекистане, Франции, Бразилии и Индии. Из-за низкого порога входа злоумышленники любого уровня могут воспользоваться данной уязвимостью.

Специалисты предупреждают, что наличие публичного эксплойта создаёт серьёзные угрозы для компаний, использующих KerioControl. Уязвимость позволяет выполнить атаки HTTP Response Splitting, которые могут привести к эксплуатации XSS и дальнейшим компрометациям.

Владельцам уязвимых серверов настоятельно рекомендуется обновить систему до версии 9.4.5 Patch 2, выпущенной 31 января 2025 года. Обновление содержит дополнительные исправления и улучшения безопасности, критически важные для защиты от атак.

Мы расшифровали формулу идеальной защиты!

Спойлер: она начинается с подписки на наш канал

Введите правильный пароль — подпишитесь!