【安全资讯】超过12,000个KerioControl防火墙暴露于被利用的远程代码执行漏洞

概要：

近日，超过12,000个GFI KerioControl防火墙实例因一个严重的远程代码执行漏洞（CVE-2024-52875）而暴露于攻击之中。该漏洞的存在使得小型和中型企业面临重大安全风险，尤其是在网络安全日益重要的当下。

主要内容：

GFI KerioControl是一款广泛用于VPN、带宽管理、流量过滤等功能的网络安全套件。该漏洞于2024年12月中旬被安全研究员Egidio Romano发现，并展示了其可能导致的危险1-click RCE攻击。尽管GFI软件在2024年12月19日发布了安全更新（版本9.4.5 Patch 1），但根据Censys的数据，三周后仍有超过23,800个实例未进行修补。

Greynoise在上个月揭示，已检测到利用Romano的概念验证（PoC）进行的活跃攻击，攻击者试图窃取管理员的CSRF令牌。根据The Shadowserver Foundation的报告，目前仍有12,229个KerioControl防火墙暴露于CVE-2024-52875的攻击之下，受影响的实例主要分布在伊朗、美国、意大利、德国等国。

该漏洞的利用门槛较低，甚至不熟练的黑客也能参与攻击。Romano解释道，用户输入未经过适当清理，导致HTTP响应头生成时可能被利用进行HTTP响应拆分攻击，进而可能引发反射型跨站脚本（XSS）攻击，甚至实现1-click远程代码执行。建议尚未应用安全更新的用户尽快安装2025年1月31日发布的KerioControl版本9.4.5 Patch 2，以增强安全性。