该漏洞是指回车换行（CRFL）攻击，可为HTTP响应截断攻击做铺垫，从而造成跨站脚本 (XSS) 缺陷。成功利用该一次点击RCE漏洞可导致攻击者通过引入回车和换行字符，将恶意输入注入HTTP响应头。

研究员 Egidio Romano 在2024年11月初发现并报送该漏洞，它影响 KeriioControl 9.2.5至9.4.5版本。

这些HTTP 响应截断漏洞存在于如下 URI路径中：

• /nonauth/addCertException.cs

• /nonauth/guestConfirm.cs

• /nonauth/expiration.cs

Romano 表示，“通过GET参数’dest’ 传递到这些页面的用户输入在被用于生成 302 HTTP 响应中的’Location’ HTTP 标头时未得到正确清理。具体而言，该应用并未正确过滤/删除换行符，从而可被用于执行HTTP响应截断攻击，进而导致攻击者执行反射型XSS攻击以及其它攻击。”

GFI 已在2024年12月19日发布版本9.4.5 Patch 1修复该漏洞。目前网络已存在相关 PoC 利用。具体而言，攻击者可构造一个恶意URL，管理员用户点击该URL导致托管在受攻击者控制的服务器上的 PoC 被执行，之后攻击者通过固件升级功能上传恶意 .img 文件，从而获得该防火墙的root 访问权限。

威胁情报公司 GreyNoise 在2024年12月28日报道了针对该漏洞的利用尝试。Censys表示，存在超过2.38万个暴露到互联网的GFI KerioControl 实例。多数服务器位于伊朗、乌兹别克斯坦、意大利、德国、美国、捷克、白俄罗斯、乌克兰、俄罗斯和巴西。

目前尚不清楚这些漏洞利用攻击的性质。建议 KerioControl 用户尽快采取措施保护实例安全，缓解潜在威胁。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错，就点个 “在看” 或 "赞” 吧~