Множество уязвимостей в программном комплексе Kerio Control, позволяющих хакерам заполучить доступ к межсетевому экрану и внутренней сети компании, было обнаружено экспертами из SEC Consult. Злоумышленники должны лишь принудить сотрудников организации осуществить переход по вредоносной ссылке.
Атака может быть успешно проведена двумя способами. Первая методика подразумевает применение социальной инженерии для того, чтобы вынудить сотрудника учреждения посетить вредоносный сайт. В эту веб-страницу внедрен скрипт JavaScript, определяющий внутренний IP-адрес компьютера, а также отправляющий IP-адрес межсетевого экрана на другой вредоносный модуль. Этот модуль, используя метод полного перебора, пытается заполучить учетную информацию для авторизации в панели администратора Kerio Control. При помощи компьютера жертвы хакер, используя другие эксплоиты, осуществляет загрузку шелл-кода, что позволяет ему получать удаленный доступ к межсетевому экрану.
Вторая методика атаки подразумевает использование двух уязвимостей, которые затрагивают механизм автоматического обновления Kerio Control. Одна из ошибок дает возможность дистанционно выполнять код, а вторая позволяет осуществлять XSS-атаку.
Всего эксперты нашли в решениях Kerio Control 9 уязвимостей, которые позволяют дистанционно выполнять код, обходить CSRF-защиту, осуществлять XSS-атаку, раскрывать важную информацию, преодолевать защиту ASLR, а также получать доступ к учетным данным, используя метод полного перебора. Уязвимости присутствуют в версиях Kerio Control 9.1.0 и 9.1.1.
Специалисты компании-производителя уже ликвидировали данные ошибки в версии 9.1.3. Примечательно, что в новой версии Kerio Control была обнаружена еще одна XSS-уязвимость. Пока что неизвестно, когда будет выпущено исправление этой ошибки.