พบไฟร์วอลล์ KerioControl กว่า 12,000 เครื่องเสี่ยงถูกโจมตีจากช่องโหว่ RCE

GFI Software เตือนพบไฟร์วอลล์ KerioControl กว่า 12,000 เครื่องยังไม่ได้รับการแพตช์ช่องโหว่ Remote Code Execution ที่กำลังถูกนำไปใช้โจมตี แม้จะมีการออกแพตช์แก้ไขแล้วตั้งแต่เดือนธันวาคม 2024

ช่องโหว่ดังกล่าวมีรหัส CVE-2024-52875 ถูกค้นพบโดยนักวิจัยด้านความปลอดภัย Egidio Romano เมื่อกลางเดือนธันวาคม 2024 โดยช่องโหว่นี้อยู่ที่พารามิเตอร์ “dest” ใน GET request ที่ไม่มีการกรองอักขระ linefeed (LF) อย่างเหมาะสม ทำให้ผู้โจมตีสามารถทำ HTTP Response Splitting และนำไปสู่การโจมตีแบบ Cross-Site Scripting (XSS) จนสามารถรันโค้ดจากระยะไกลได้ด้วยการคลิกเพียงครั้งเดียว

จากข้อมูลของ Shadowserver Foundation พบว่าไฟร์วอลล์กว่า 12,000 เครื่องที่ยังมีความเสี่ยงส่วนใหญ่อยู่ในอิหร่าน, สหรัฐอเมริกา, อิตาลี, เยอรมนี, รัสเซีย, คาซัคสถาน, อุซเบกิสถาน, ฝรั่งเศส, บราซิล, และอินเดีย ขณะที่ Greynoise รายงานว่าพบการพยายามโจมตีโดยใช้ช่องโหว่นี้เพื่อขโมย CSRF token ของผู้ดูแลระบบ GFI Software แนะนำให้ผู้ใช้งานอัปเดตเป็นเวอร์ชัน 9.4.5 Patch 2 ที่เพิ่งออกเมื่อวันที่ 31 มกราคม 2025 ซึ่งมีการปรับปรุงความปลอดภัยเพิ่มเติม

ที่มา: https://www.bleepingcomputer.com/news/security/over-12-000-keriocontrol-firewalls-exposed-to-exploited-rce-flaw/