Post #4181

Незваные заголовки Всего один баг в корпоративном маршрутизаторе даёт шанс сделать редирект, перехватить сессию и даже залить зловредную прошивку. Сервер GFI KerioControl не убирает CRLF и превращает безобидную base64-строку в двойной HTTP-ответ. На деле, когда в base64-параметр встраивают управляющие символы, веб-приложение видит часть содержимого как новый заголовок, а остаток считывает как HTML. Так вот внезапно появляется злонамеренный скрипт, который работает в контексте KerioControl и получает доступ к cookie, API и админскому разделу. Всё это выливается пока в XSS, а затем и в RCE. Админ кликает всего один раз — и тут же получает 1-click-концерт на своём IPS- Firewall’е. Пока что известно о нескольких массовых атаках, где хакеры уводили CSRF-токены и раскатывали бэкдор через фальшивое обновление системы. Если у вас где-то крутится KerioControl, лучше переходить на свежую сборку. НеКасперский