KerioControlは、ネットワークセキュリティソリューションです。
ファイアウォール、VPN、帯域幅管理、レポートと監視、トラフィック フィルタリング、AV保護、侵入防止を組み合わせて、中小企業向けに設計されています。
2024年12月にKerioControlの脆弱性のPoC情報が公開されていましたが、その後1か月も経っていないうちに実際の悪意ある活動が観測されてしまっています。
- 対象環境
対象となるKerioControlは、9.2.5~9.4.5です。 - 脆弱性の作用
ここで注目する脆弱性は、CVE-2024-52875です。
この脆弱性は、「dest」パラメータ内の改行(Line Feed)文字の不適切なサニタイズが原因で、挿入されたペイロードを介してHTTPヘッダーと応答の操作が可能になります。
応答に挿入された悪意のあるJavaScriptが被害者のブラウザで実行され、CookieまたはCSRFトークンが抽出されます。
攻撃者は、認証された管理者ユーザーのCSRFトークンを使用して、ルートレベルのシェルスクリプトを含む悪意のある.IMGファイルをアップロードし、Kerioのアップグレード機能を利用して、攻撃者用のリバースシェルを開く可能性があります。
この脆弱性は、HTTP応答分割とリフレクション型クロスサイトスクリプティングを利用してデバイスのCSRFトークンを取得し、特定の条件下で1クリックリモートコード実行が可能になる可能性があります。
この脆弱性の情報公開が行われたのは2024年12月16日でした。 - 脆弱性の悪用事例の観測
2025年1月2日以降、この脆弱性を悪用した活動であると考えられる通信が観測されています。
2025年1月7日までの時点で、4つの異なるIPアドレスからの活動があったようです。
観測したGreynoise社による分析では、この活動は研究者による調査のためのものではなく、脅威アクターによるものであるとなっています。
公開されたネットワークには、23,862以上のKerioControlが存在しています。
このなかのどのくらいの部分がこの脆弱性に対して弱い状態なのでしょうか。
対策されたバージョンはversion 9.4.5 Patch1としてすでに公開されていますので、速やかな適用が必要です。
緩和策も一時的なものとしては選択できますので、何らかの対策をすぐに講じたいところです。
自社の責任でメンテナンスが十分でないネットワークセキュリティソリューションが原因で侵害行為にあってしまうという事態は回避したいです。
Kerio Control CVE-2024-52875 CRLF Injection Attempt
https://viz.greynoise.io/tags/kerio-control-cve-2024-52875-crlf-injection-attempt
| この記事をシェア |
|
|---|
