Експерти з кібербезпеки The Shadowserver Foundation виявили критичну ситуацію: понад 12 000 мережевих пристроїв GFI KerioControl залишаються вразливими до небезпечної RCE-вразливості, незважаючи на випущене виправлення. Ця проблема становить серйозну загрозу для корпоративних інфраструктур по всьому світу, особливо враховуючи широке розповсюдження цих пристроїв у критично важливих системах.
Технічний аналіз вразливості CVE-2024-52875
Вразливість, виявлена дослідником Еджідіо Романо, пов’язана з некоректною валідацією GET-параметра dest у системі. Особливу небезпеку становить можливість проведення HTTP Response Splitting атак, що потенційно дозволяє зловмисникам здійснювати міжсайтовий скриптинг (XSS) та віддалене виконання довільного коду. Технічний аналіз показує, що експлуатація вразливості не вимагає складних навичок, що робить її особливо привабливою для кіберзлочинців.
Географічний розподіл вразливих систем
Дослідження виявило значну концентрацію вразливих пристроїв у десяти країнах, включаючи Іран, США, Італію, Німеччину, Росію, Казахстан, Узбекистан, Францію, Бразилію та Індію. Така широка географія розповсюдження свідчить про глобальний масштаб проблеми та необхідність термінового реагування з боку адміністраторів безпеки.
Активна експлуатація та загрози
За даними аналітиків Greynoise, вже зафіксовано численні спроби використання публічно доступного PoC-експлойта для викрадення CSRF-токенів адміністратора. Наявність готового експлойта суттєво підвищує ризики успішних атак, оскільки його можуть використовувати навіть зловмисники з базовими технічними навичками.
Заходи захисту та рекомендації
Для мінімізації ризиків критично важливо оновити системи до версії KerioControl 9.4.5 Patch 2, випущеної 31 січня 2025 року. Це оновлення не лише усуває вразливість CVE-2024-52875, але й містить додаткові покращення безпеки. Адміністраторам рекомендується провести повний аудит мережевої інфраструктури та впровадити багаторівневий підхід до захисту, включаючи моніторинг мережевого трафіку та своєчасне оновлення систем безпеки.
Враховуючи серйозність загрози та активну експлуатацію вразливості, організаціям необхідно терміново вжити заходів щодо оновлення та захисту своїх систем. Затримка з впровадженням необхідних оновлень може призвести до компрометації корпоративних мереж та значних фінансових втрат. Рекомендується також розглянути можливість впровадження додаткових засобів захисту, таких як системи виявлення вторгнень (IDS) та регулярний моніторинг безпеки.
