image

'Aanvallers maken actief misbruik van lek in GFI KerioControl firewall'

donderdag 9 januari 2025, 15:02 door Redactie, 2 reacties

Aanvallers maken actief misbruik van een kwetsbaarheid in de GFI KerioControl firewall, zo meldt securitybedrijf Censys op basis van data van securitybedrijf GreyNoise. De CRLF-kwetsbaarheid maakt cross-site scripting mogelijk, wat tot '1-click remote code execution' kan leiden. Wanneer een ingelogde firewallbeheerder op een malafide link klikt, is het mogelijk om via de upgradefunctie van de firewall een malafide bestand te uploaden, wat de aanvaller uiteindelijk roottoegang tot de firewall geeft.

GFI kwam op 19 december met een beveiligingsupdate voor het probleem, aangeduid als CVE-2024-52875. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 8.8. De score hangt samen met de vereiste dat een aanvaller het doelwit op een malafide link moet laten klikken. Volgens Censys zijn er bijna 24.000 KerioControl-installaties vanaf het internet toegankelijk en mogelijk kwetsbaar. Proof-of-concept exploitcode is al een aantal weken online beschikbaar. GreyNoise stelt dat het inmiddels meerdere ip-adressen heeft gezien die geprobeerd hebben om misbruik van CVE-2024-52875 te maken.

Reacties (2)
10-01-2025, 06:23 door Anoniem
Een beetje beheerder doet onderhoud via SSH en op een management netwerk zonder internetverbinding. Toch? :-)
10-01-2025, 12:30 door Anoniem
Door Anoniem: Een beetje beheerder doet onderhoud via SSH en op een management netwerk zonder internetverbinding. Toch? :-)

Iedereen die een keer een 'reset windows to default' klikje gedaan heeft, denkt dat ze van alles weten op netwerk, security en systeem gebied... dat is niet zo... heeft een aantal voordelen, diegene die iets minder een-oog zijn hebben een zee van n00bs die fouten maken waardoor zij minder snel de vis zijn die door haaien gegeten worden.
nadeel is wel dat al die onwetende en uiteindelijk dooie vissen het water vervuilen
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.