Atacantes estão explorando uma falha de segurança recentemente divulgada nos firewalls GFI KerioControl, que, se bem-sucedida, pode permitir a execução remota de código (RCE). A vulnerabilidade, identificada como CVE-2024-52875, explora um ataque de injeção de carriage return line feed (CRLF), possibilitando divisão de resposta HTTP e, eventualmente, ataques de cross-site scripting (XSS). Essa vulnerabilidade afeta as versões do KerioControl entre 9.2.5 e 9.4.5, conforme apontado pelo pesquisador de segurança Egidio Romano, que relatou a falha no início de novembro de 2024.

Segundo foi relatado, o problema ocorre porque a entrada do usuário, passada via parâmetro “dest” no método GET, não é devidamente sanitizada antes de ser usada para gerar um cabeçalho “Location” em uma resposta HTTP 302. Isso permite que ataques de divisão de resposta HTTP sejam realizados, abrindo a possibilidade para XSS refletido e outros tipos de ataques.

Uma correção foi lançada pela GFI em 19 de dezembro de 2024, na versão 9.4.5 Patch 1. Desde então, um exploit de prova de conceito (PoC) tornou-se disponível. Em cenários específicos, um invasor pode criar uma URL maliciosa que, ao ser clicada por um administrador, aciona a execução do PoC hospedado em um servidor controlado pelo atacante. Esse exploit então carrega um arquivo malicioso (.img) por meio da funcionalidade de atualização de firmware, concedendo acesso root ao firewall. Os usuários do KerioControl são fortemente aconselhados a tomar medidas imediatas para proteger suas instâncias, aplicando as atualizações de segurança mais recentes e mitigando os riscos potenciais associados à falha.