Aanvallers maken actief misbruik van een kwetsbaarheid in de GFI KerioControl firewall, zo meldt securitybedrijf Censys op basis van data van securitybedrijf GreyNoise. De CRLF-kwetsbaarheid maakt cross-site scripting mogelijk, wat tot '1-click remote code execution' kan leiden. Wanneer een ingelogde firewallbeheerder op een malafide link klikt, is het mogelijk om via de upgradefunctie van de firewall een malafide bestand te uploaden, wat de aanvaller uiteindelijk roottoegang tot de firewall geeft.

GFI kwam op 19 december met een beveiligingsupdate voor het probleem, aangeduid als CVE-2024-52875. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 8.8. De score hangt samen met de vereiste dat een aanvaller het doelwit op een malafide link moet laten klikken. Volgens Censys zijn er bijna 24.000 KerioControl-installaties vanaf het internet toegankelijk en mogelijk kwetsbaar. Proof-of-concept exploitcode is al een aantal weken online beschikbaar. GreyNoise stelt dat het inmiddels meerdere ip-adressen heeft gezien die geprobeerd hebben om misbruik van CVE-2024-52875 te maken.