У міжмережевих екранах kerio control знайдені вразливості

Безліч вразливостей в програмному комплексі Kerio Control, що дозволяють хакерам отримати доступ до міжмережевий екран і внутрішньої мережі компанії, було виявлено експертами з SEC Consult. Зловмисники повинні лише примусити співробітників організації здійснити перехід по шкідливої ​​посиланням.

Друга методика атаки на увазі використання двох вразливостей, які зачіпають механізм автоматичного оновлення Kerio Control. Одна з помилок дає можливість дистанційно виконувати код, а друга дозволяє здійснювати XSS-атаку.

Всього експерти знайшли в рішеннях Kerio Control 9 вразливостей, які дозволяють дистанційно виконувати код, обходити CSRF-захист, здійснювати XSS-атаку, розкривати важливу інформацію, долати захист ASLR, а також отримувати доступ до облікового запису, використовуючи метод повного перебору. Уразливості присутні в версіях Kerio Control 9.1.0 і 9.1.1.

Фахівці компанії-виробника вже ліквідували дані помилки в версії 9.1.3. Примітно, що в новій версії Kerio Control була виявлена ​​ще одна XSS-уразливість. Поки що невідомо, коли буде випущено виправлення цієї помилки.

Взагалі дивні фахівці з безпеки, не змогли знайти захист від атак вгадування пароля, ніби й не так глибоко заритий.

UPD фікс останньої уразливості анонсували на 9.1.4, ось ось має бути.

Сайт який вУкаіни пише таке:

KERIO CONTROL
DELUXE
€ 314
+РІК ОБСЛУГОВУВАННЯ
€ 173/5 додаткових користувачів
Kerio Antivirus
Kerio Control Web Filter
w / application awareness

Сайт в європі пише таке:

KERIO CONTROL
DELUXE
$ 300
1ST YEAR
$ 33 / additional user
Kerio Antivirus
Kerio Control Web Filter
w / application awareness

KERIO CONTROL
DELUXE
€ 266
1ST YEAR
€ 29.40 / additional user
Kerio Antivirus
Kerio Control Web Filter