Plus de 12 000 instances de petites et moyennes entreprises du monde entier qui utilisent le logiciel de pare-feu de gestion unifiée des menaces Keriocontrol de GFI Software (à ne pas confondre avec Inetum, ex GFI) sont toujours vulnérables. Plusieurs semaines après la publication de correctifs pour un bogue RCE critique, le nombre d'instances non corrigées de cet UTM (unified threat management) est encore élevé. La vulnérabilité, référencée CVE-2024-52875, empêche la vérification correcte des entrées lors du traitement des requêtes HTTP, ce qui donne aux attaquants la capacité de fractionner les réponses HTTP et d'effectuer des attaques XSS (injection de script) réfléchies pour exécuter du code et prendre le contrôle de l'ensemble du système. Dans un rapport publié en début de semaine, la Shadowserver Foundation déclare avoir trouvé 12 229 instances non corrigées au 9 février 2025. « Nous observons également une activité de scan liée à la faille CVE-2024-52875 dans nos capteurs honeypot », a rapporté l’organisme de cybersécurité à but non lucratif dans un communiqué. La faille a déjà suscité l'intérêt des attaquants, puisque plusieurs tentatives de N-day ont été découvertes début janvier par Greynoise pour l'exploiter afin de voler les identifiants Cross-Site Request Forgery (CSRF) des administrateurs.

Un correctif pas appliqué assez rapidement

Depuis que la brèche a été rendue public le 16 décembre 2024 et qu'un correctif a été mis à disposition trois jours plus tard, les entreprises de cybersécurité et les chasseurs de bugs ont suivi et signalé l'état d'avancement des correctifs en raison du risque de compromission de systèmes critiques qu'il présente. Selon un avis de Censys publié le 7 janvier, 23 862 instances de Keriocontrol n'étaient pas mises à jour, 17 % d'entre elles étant uniquement localisées en Iran au moment de la publication du rapport. Le site Karma(In)Security d'Egidio Romano, un passionné de cybersécurité, a rapporté en janvier qu’il avait informé GFI Software de la faille ainsi que d'un exploit de preuve de concept (POC), le même qui, selon Greynoise, a été utilisé par les attaquants pour les exploits du monde réel. Le dernier rapport de Shadowserver indique également que les systèmes iraniens sont les plus vulnérables (2 658 cas), suivis par ceux de l'Ouzbékistan (1 584). L'exposition des États-Unis et de la Russie est assez similaire, avec respectivement 556 et 534 cas d'exposition. L'application des correctifs s'est considérablement améliorée, près de la moitié des systèmes précédemment exposés étant désormais sécurisés, selon les rapports d'exposition. Cependant, compte tenu de la gravité de la faille, il est essentiel de réagir plus rapidement.

Une faille ouvrant la voie au RCE en un clic

La faille persiste depuis près de sept ans, affectant les versions 9.2.5 (publiée en 2018) à 9.4.5. Selon le POC d'Egidio Romano, l'exploit consisterait à injecter des charges utiles codées en Base64 pour manipuler les réponses HTTP et introduire des en-têtes arbitraires ou du contenu malveillant. La méthode peut permettre une attaque par fractionnement de la réponse HTTP qui, à son tour, peut conduire à une attaque XSS dite reflétée, la plus courante, pour l'exécution de code à distance. La faille a été corrigée dans les versions 9.4.5 Patch1 (publiée le 19 décembre) et 9.4.5. Patch2 (publiée le 31 janvier) avec des améliorations de sécurité supplémentaires. GFI Software conseille aux administrateurs d'appliquer rapidement ces correctifs pour se protéger contre ces attaques. Une grande quantité d’entreprises très diverses, parmi lesquelles McDonald's et Luxury Motor Yacht Lotus, ont choisi GFI Keriocontrol pour sécuriser leur réseau. Des centaines de milliers d'instances exécutant la solution sont activement déployées partout dans le monde.