KerioControl是一款面向中小企業的網絡安全套件，主要用于vpn、帶寬管理、報表監控、流量過濾、反病毒防護、入侵防御等。安全研究員發現，超過12000個GFI KerioControl防火墻實例暴露于一個關鍵的遠程代碼執行漏洞，跟蹤為CVE-2024-52875。

這個漏洞是由安全研究員Egidio Romano （EgiX）在12月中旬發現的，他向人們展示了一鍵式RCE攻擊的潛在危險。

GFI軟件公司于2024年12月19日發布了9.4.5版本補丁1的安全更新，但三周后，根據Censys的說法，超過23800個實例仍然容易受到攻擊。

上個月初，Greynoise透露，它已經檢測到利用Romano的概念驗證（PoC）漏洞的活躍利用嘗試，旨在竊取管理CSRF令牌。

盡管有關于主動利用的警告，威脅監控服務Shadowserver表示，有12229臺KerioControl防火墻暴露在利用CVE-2024-52875的攻擊中。

這些實例大多數位于伊朗、美國、意大利、德國、俄羅斯、哈薩克斯坦、烏茲別克斯坦、法國、巴西和印度。

由于CVE-2024-52875的公共PoC的存在，利用的要求很低，即使是不熟練的黑客也可以加入惡意活動。

Egidio Romano解釋說：“在302 HTTP響應中用于生成“Location”HTTP頭之前，通過“dest”GET參數傳遞到這些頁面的用戶輸入沒有得到正確的處理。”

具體來說，應用程序不能正確過濾/刪除換行（LF）字符。這可以用來執行HTTP響應分裂攻擊，這反過來可能允許執行反射跨站腳本（XSS）和其他可能的攻擊。”

反射XSS向量可能被濫用來執行一鍵式遠程代碼執行（RCE）攻擊。如果用戶還沒有進行安全更新，強烈建議安裝2025年1月31日發布的KerioControl版本9.4.5 Patch 2，其中包含額外的安全增強功能。

參考及來源：https://www.bleepingcomputer.com/news/security/over-12-000-keriocontrol-firewalls-exposed-to-exploited-rce-flaw/