Ruim twaalfduizend GFI KerioControl-firewalls die vanaf het internet toegankelijk zijn bevatten een actief misbruikte kwetsbaarheid, waaronder meer dan honderd in Nederland, zo meldt The Shadowserver Foundation op basis van eigen onderzoek. De kwetsbaarheid, aangeduid als CVE-2024-52875, maakt cross-site scripting mogelijk, wat tot '1-click remote code execution' kan leiden.

Wanneer een ingelogde firewallbeheerder op een malafide link klikt, is het mogelijk om via de upgradefunctie van de firewall een malafide bestand te uploaden, wat de aanvaller uiteindelijk roottoegang tot de firewall geeft. GFI kwam op 19 december met een beveiligingsupdate voor het probleem. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 8.8. De score hangt samen met de vereiste dat een aanvaller het doelwit op een malafide link moet laten klikken. Proof-of-concept exploitcode is al een aantal weken online beschikbaar.

The Shadowserver Foundation is een stichting die zich bezighoudt met de bestrijding van cybercrime en onder andere onderzoek doet naar kwetsbare systemen op internet. Bij deze onderzoeken voert de stichting online scans uit. Bij de laatste scan werd gekeken naar kwetsbare KerioControl-firewalls die vanaf het internet toegankelijk zijn. Dit leverde meer dan twaalfduizend firewalls op, waarvan 112 in Nederland. Het grootste aantal bevindt zich in Iran, gevolgd door de Verenigde Staten, Duitsland en Rusland.