Más de 12,000 instancias de pequeñas y medianas empresas de todo el mundo que utilizan el software de firewall de gestión unificada para las amenazas de queriocontrol del software GFI (que no se confunde con Inetum, EX GFI) aún son vulnerables. Varias semanas después de la publicación de correcciones para un error de RCE crítico, el número de instancias no corregidas de este UTM (gestión de amenazas unificadas) sigue siendo alto. Vulnerabilidad, referenciada CVE-2024-52875previene la verificación correcta de las entradas al procesar las solicitudes HTTP, lo que brinda a los atacantes la capacidad de dividir las respuestas HTTP y realizar ataques XSS (inyección de script) para ejecutar el código y tomar el control del conjunto del sistema. En un informe publicado al comienzo de la semana, la Fundación Shadowserver declara que ha encontrado 12,229 instancias no corregidas el 9 de febrero de 2025. "También observamos una actividad de escaneo vinculada a la FAILLE CVE-2024-52875 en nuestros sensores de honeypot" , informó la organización de ciberseguridad sin fines de lucro en un comunicado de prensa. La culpa ya ha despertado el interés de los atacantes, ya que Greynoise descubrió varios intentos de N-Day a principios de enero para explotarlo para robar los identificadores de falsificación de solicitudes de sitios cruzados (CSRF).
Una solución no se aplica con bastante rapidez
Dado que la violación se hizo pública el 16 de diciembre de 2024 y que se puso a disposición una corrección tres días después, las compañías de ciberseguridad y los cazadores de errores siguieron e informaron el progreso de las soluciones debido al riesgo de compromiso de los sistemas críticos que presenta. Según un aviso de Censys publicados el 7 de enero, 23.862 instancias de queriocontrol no se actualizaron, el 17 % de ellos solo se ubican en Irán cuando se publica el informe. La seguridad del Karma (in) del sitio de Egidio Romano, un entusiasta de la ciberseguridad, informó en enero que había informado el software GFI de La Faille, así como una hazaña de prueba de concepto (POC), lo mismo que, según Graynoise, se usó por atacantes para exploits del mundo real. El último informe de Shadowserver también indica que los sistemas iraníes son los más vulnerables (2,658 casos), seguidos por los de Uzbekistán (1,584). La exposición de los Estados Unidos y Rusia es bastante similar, con respectivamente 556 y 534 casos de exposición. La aplicación de soluciones ha mejorado considerablemente, casi la mitad de los sistemas previamente expuestos ahora son seguros, según informes de exposición. Sin embargo, dada la gravedad de la falla, es esencial reaccionar más rápidamente.
Un defecto que se abre el camino al RCE de un solo clic
La Faille ha persistido durante casi siete años, afectando las versiones 9.2.5 (publicadas en 2018) a las 9.4.5. Según el POC de Egidio Romano, la hazaña consistiría en inyectar cargas útiles codificadas en Base64 para manipular las respuestas HTTP e introducir encabezados arbitrarios o contenido malicioso. El método puede permitir un ataque de fraccionamiento de la respuesta HTTP que, a su vez, puede conducir a un ataque XSS más común y llamado para la ejecución de código remoto. La falla se corrigió en las versiones 9.4.5 Patch1 (publicada el 19 de diciembre) y 9.4.5. Patch2 (publicado el 31 de enero) con mejoras de seguridad adicionales. GFI Software aconseja a los administradores que apliquen rápidamente estas correcciones para protegerse contra estos ataques. Una gran cantidad de empresas muy diversas, incluidas McDonald's y Luxury Motor Yacht Lotus, eligieron el queriocontrol de GFI para asegurar su red. Cientos de miles de instancias que realizan la solución se implementan activamente en todo el mundo.
Otras noticias que te pueden interesar