Эксперты консалтинговой компании SEC Consult опубликовали детальный отчет об изучении продуктов компании Kerio Technologies, которая выпускает различные защитные программные решения, для малого и среднего бизнеса. Согласно официальному сайту компании, ее продукцией пользуются более 60 000 компаний по всему миру.

Специалисты SEC Consult обнаружили множество уязвимостей в Kerio Control, UTM-решении компании, которое объединяет в себе функции брандмауэра, маршрутизатора, IDS/IPS, шлюзового антивируса, VPN и так далее. Исследователи описали два сценария атак, которые позволяют злоумышленнику не только перехватить контроль над Kerio Control, но и над корпоративной сетью, которую продукт должен защищать. Хотя разработчики уже выпустили исправления для большей части обнаруженных багов, исследователи отмечают, что реализовать один из сценариев атак по-прежнему возможно.

По словам исследователей, решения Kerio Control уязвимы в силу небезопасного использования PHP функции unserialize, а также из-за использования старой версии PHP (5.2.13), в которой ранее уже были обнаружены серьезные проблемы. Также эксперты обнаружили ряд уязвимых PHP-скриптов, которые позволяют осуществить XSS и CSRF атаки и обход защиты ASLR. Кроме того, по словам SEC Consult, веб-сервер работает с root-привилегиями и не имеет защиты от брутфорс-атак и нарушения целостности информации в памяти.

flaws-in-kerio-firewalls-let-the-bad-guys-through-508551-2
Схема первого сценария атаки

Первый описанный экспертами сценарий атаки подразумевает эксплуатацию сразу нескольких уязвимостей. Атакующему понадобится применить социальную инженерию и заманить жертву на вредоносный сайт, на котором будет размещен скрипт, позволяющий выяснить внутренний IP-адрес Kerio Control. Затем злоумышленник должен эксплуатировать баг CSRF. Если же жертва не залогинена в панели управления Kerio Control, атакующий может применить обычный брутфорс для подбора учетных данных. Для этого понадобится уязвимость XSS, которая позволит обойти защиту SOP. После этого можно переходить к обходу ASLR и воспользоваться старым багом в PHP (CVE-2014-3515), чтобы запустить шелл с root-правами. По сути, после этого атакующий получает полный доступ к сети организации. Видеоролик ниже демонстрирует атаку в действии.

Второй сценарий атаки включает в себя эксплуатацию RCE-уязвимости, которая связана с функцией обновления Kerio Control и была обнаружена более года назад одним из сотрудников SEC Consult. Эксперты предлагают использовать этот баг, допускающий удаленное исполнение произвольного кода, в сочетании с XSS-уязвимостью, которая позволяет расширить функциональность атаки.

Специалистов Kerio Technologies уведомили о проблемах еще в конце августа 2016 года. На данный момент компания выпустила Kerio Control 9.1.3, где большинство уязвимостей устранены. Однако компания решила оставить веб-серверу root-привилегии, а также без исправления пока остается RCE-баг, связанный с функцией обновления.

7 комментариев

  1. Аватар

    obelov

    24.09.2016 at 17:00

    возмущает то, что они требуют продления подписки для устранения уязвимостей которые продали.

  2. Аватар

    Diman15

    28.09.2016 at 01:16

    Эти негодяи только на год дают обновления, нормальные же производители 150 лет обновляют бесплатно

    • Аватар

      obelov

      01.10.2016 at 20:30

      есть обновления с «new features» и есть «critical».
      требовать деньги за первые — норма, за вторые — нет.
      получается что покупаешь продукт с известной критической уязвимостью и эту дыру не закрывают?
      у меня 20 сентября окончилась очередная годовая подписка на обновления. и если в моём случае это не так уж опасно для сети, то есть места где это очень важно.

    • Аватар

      Tihon_one

      18.11.2016 at 14:08

      чушь не порите. Такой подход лицензирования стандартен.
      Для справки эти уязвимости НЕ являются уязвимостями ядра продукта, а относятся к стороннему веб-серверу. При том, что при соблюдении интернет-гигиены подвергнуться подобным «атакам» практически не возможно, а в случае использования бесплатного интерфейса управления MyKerio ( https://my.kerio.com ) эти риски сведены к нулю.

      • Аватар

        MaddoX

        16.05.2017 at 23:32

        Насколько я знаю вы сотрудник из Kerio и естественно защищаете своих подопечных касаемо лицензирования, ну а как же иначе от этого будет зависеть ваша жирная зарплата…
        По делу, в реальности Керио не занимается исправлением некоторых дыр по причине обычной лени и занятостью на заработках, у них даже нет времени чтобы сделать нормальные инструкции для пользователей, те же видео которые выложены на сайте сделаны откровенно говоря «бараном», в названии и в оглавлении написано одно а на деле обсуждается другое, либо то что в конце про это ни слова и считают это нормальным, все те дыры которые оставляют кериотовцы могут быть использованы ими самими для проникновения в вашу организацию, это даже делает и сама Microsoft, ну и эти мальчики ничем далеко от нее не отходят, а делается это в случае запроса спец служб как США типа АНБ и им подобных чтобы проникнуть без проблем в сеть, можете это считать параноей но оно на деле так и есть.
        По лицензированию, для того чтобы драть с пользователя ему нужно предоставить готовый продукт который удовлетворяет его требованию на 100% у керио все выглядит по другому, в связи с отсутствием идей они обращаются к пользователям чтобы те предлагали что не хватает в продукте, но как вы понимаете что идеи тоже стоят денег но при этом деньги берут с вас причем заманивая очень хитрым методом, история с продуктом Operator очень интересная, одним пользователем была предложена идея добавить в оператор черные списки телефонов, это предложение провисело на их сайте около 1,5 года и только потом они туда добавили функцию, я переписывался с этим пользователем и он сказал что в последствии отказался от продукта тк как в ожидании этой фукции ему пришлось бы продлевать лицензию целых 2 года.
        Для примера в той версии Operatora за основу был взят asterisk 8 версии, но эта функция блокировки уже была использована в версии 6, а значит сами кериотовцы небыли заинтересованы активировать эту функцию до тех пор пока народ уже возмутился на эту проблему.
        Так что Тихон на ваши слова типа «Такой подход лицензирования стандартен» есть вопрос, стандартен для чего ? продукты которые продаются на территории бывшего СССР обычно не пишут цены в евро но так же при цене продукта используют соотношение прибыли и ценовой политики в разных странах, например я при покупке некоторых продуктов в штатах заплачу намного больше чем заплачу за них на территории бывшего СССР, потому что учитывается соотношение цен рынка двух стран, чего не скажешь об Керио, сами поменяли политику лицензирования причем в жесткую сторону когда поняли что мало выручки идет, но при этом исправления багов делают все так же не активно…
        На лицо тупизм и бесполезные взгляды на некоторые рынки со стороны ответственных лиц в компании.

        • Аватар

          obelov

          17.05.2017 at 20:18

          хочу добавить малость))
          Kerio после той даты дал обновиться до версии без критических багов. но правда перед этим прошло несколько дней, видимо они выпустили другой файл обновления, в котором нет ограничений для клиентов у которых закончилась подписка

          • Аватар

            diig

            20.12.2017 at 11:51

            Добрый день!
            А где можно почитать по обновлениями для клиентов у которых закончилась подписка?

Оставить мнение