CISA предупреждает об активном использовании RCE-уязвимости ZK Java Framework
Опасный недостаток позволяет хакеру украсть конфиденциальные данные и взять под контроль системы на сервере.
Агентство по кибербезопасности и защите инфраструктуры США (CISA) добавило уязвимость CVE-2022-36537 в свой Каталог известных эксплуатируемых уязвимостей после того, как хакеры начали активно использовать этот недостаток для удаленного выполнения кода (RCE) в атаках.
CVE-2022-36537 (CVSS v3.1: 7.5) затрагивает сервлеты ZK Framework AuUploader версий 9.6.1, 9.6.0.1, 9.5.1.3, 9.0.1.2, 8.6.4.1 и позволяет злоумышленникам получить доступ к конфиденциальной информации путем отправки специально сформированного POST-запроса компоненту AuUploader.
Дефект был обнаружен в прошлом году Маркусом Вульфтанжем и устранен компанией ZK 5 мая 2022 года в версии 9.6.2 .
ZK — это фреймворк Ajax веб-приложений с открытым исходным кодом, написанный на Java, позволяющий веб-разработчикам создавать графические пользовательские интерфейсы для веб-приложений с минимальными усилиями и знаниями программирования. Фреймворк ZK широко используется в проектах всех типов и размеров, поэтому влияние дефекта широко и далеко идущее. Среди продуктов, использующих фреймворк ZK, можно отметить ConnectWise Recover и ConnectWise R1SoftServer Backup Manager.
Добавление этой уязвимости в каталог известных эксплуатируемых уязвимостей CISA произошло после того, как команда Fox-IT компании NCC Group опубликовала отчет , в котором описывается, как этот недостаток активно используется в атаках.
По данным Fox-IT, уязвимость позволила киберпреступнику получить первоначальный доступ к ПО ConnectWise R1Soft Server Backup Manager. Затем злоумышленник взял под контроль последующие системы, подключенные через R1Soft Backup Agent, и развернул вредоносный драйвер базы данных с функцией бэкдора, что позволило ему выполнять команды на всех системах, подключенных к этому серверу R1Soft.
Fox-IT обнаружила, что попытки эксплуатации уязвимости против серверного ПО R1Soft предпринимаются по всему миру с ноября 2022 года, и по состоянию на 9 января 2023 года было обнаружено не менее 286 серверов с бэкдором. Однако эксплуатация уязвимости была ожидаема, так как в декабре 2022 года на GitHub были опубликованы многочисленные PoC-эксплойты.
Таким образом, инструменты для проведения атак на непропатченные установки R1Soft Server Backup Manager широко доступны, поэтому администраторам крайне необходимо обновить их до последней версии.
Ваша приватность умирает красиво, но мы можем спасти её.