В межсетевых экранах Kerio Control обнаружен ряд уязвимостей


KerioControlЭкспертами из компании SEC Consult были обнаружены множественные уязвимости в программном комплексе Kerio Control. Выявленные бреши позволят злоумышленникам получить доступ к межсетевому экрану и внутренней сети целевой компании. Все, что требуется от атакующих - это заставить сотрудников предприятия перейти по вредоносной ссылке.

Успешная атака предполагает совместную эксплуатацию проблем. Она может осуществляться двумя методами:

Первый метод - опирается на использование социальной инженерии. Злоумышленнику необходимо заставить сотрудника компании посетить вредоносную web-страницу. На данной странице содержится JavaScript, который определяет внутренний IP-адрес компьютера, а затем отправляет IP-адрес межсетевого экрана на другой вредоносный модуль.

Второй модуль, при помощи брутфорс-атаки, пытается получить учетные данные панели администратора Kerio Control. Используя компьютер жертвы, атакующий при помощи других эксплоитов загружает шелл-код, который позволяет ему получить удаленный доступ к межсетевому экрану.


Второй метод - предполагает эксплуатацию уязвимостей в механизме автоматического обновления Kerio Control. Первая уязвимость - позволяет удаленно выполнить код, вторая – осуществить XSS-атаку.

Всего сотрудниками SEC Consult было обнаружено 9 уязвимостей в решениях Kerio Control. Они позволяют:

  • удаленно выполнить код, в том числе с правами администратора;
  • обойти CSRF-защиту;
  • осуществить XSS-атаку;
  • раскрыть важные данные;
  • обойти защиту ASLR;
  • получить доступ к учетным данным при помощи метода брутфорс.


Проблемы затрагивают версии Kerio Control 9.1.0 (сборка 1087) и 9.1.1 (сборка 1324).

И хотя производитель уже устранил вышеуказанные уязвимости с выпуском корректирующего обновления 9.1.3, в исправленной версии продукта исследователями обнаружена еще одну XSS-уязвимость. Когда будет доступен патч для данного релиза - не сообщается.


Обновлено (23.09.2016 22:52)