CVE-2022-36537 er en meget alvorlig sårbarhed i ZK Framework, det CISA (Cybersecurity and Infrastructure Security Agency) lige føjet til sit udnyttelseskatalog. Tilsyneladende, sårbarheden er blevet udnyttet i naturen i angreb, som kan føre til at hente følsomme oplysninger via specielt udformede anmodninger.
CVE-2022-36537 Detaljer
Berørte versioner er følgende: ZK Framework 9.6.1, 9.6.0.1, 9.5.1.3, 9.0.1.2, og 8.6.4.1. Ifølge Sikkerhedsstyrelsen, "Denne type sårbarhed er en hyppig angrebsvektor for ondsindede cyberaktører og udgør en betydelig risiko for den føderale virksomhed." Som et resultat af denne udnyttelse, CISA føjede CVE-2022-36537 til sin Katalog med kendte udnyttede sårbarheder.
Hvad er ZK Framework?
ZK er en open source, Java-baseret ramme til udvikling af Ajax webapplikationer, der giver brugerne mulighed for at skabe grafiske brugergrænseflader uden omfattende programmeringsviden. Dens kerne er en begivenhedsdrevet Ajax-mekanisme, støttet af 123 XUL og 83 XHTML komponenter, og et mark-up sprog til design af brugergrænseflader.
ZK anvender en server-centreret metode, der gør det muligt for motoren at styre indholdssynkronisering af komponenter og hændelsespipe-lining mellem klienter og servere, samtidig med at Ajax VVS-koder er gennemsigtige for webapplikationsudviklere.
CISA udtalte, at ZK Framework er en open source Java-ramme, og at denne sårbarhed kan påvirke flere produkter, Herunder ConnectWise R1Soft Server Backup Manager, dog ikke begrænset til det.
CVE-2022-36537: Indvirkning og overblik over angreb
I maj 2022, sårbarheden blev rettet i versioner 9.6.2, 9.6.0.2, 9.5.1.4, 9.0.1.3, og 8.6.4.2. Men, i oktober 2022 Huntress var i stand til at våben sårbarheden med et proof-of-concept (PoC) for at omgå godkendelse, upload en bagdørs JDBC-databasedriver, og implementere ransomware på modtagelige endepunkter.
Singapore-baserede Numen Cyber Labs offentliggjorde derefter deres egen PoC i december 2022, og fandt mere end 4,000 Server Backup Manager-forekomster eksponeret på internettet. Efterfølgende, sårbarheden kom under masseudnyttelse som rapporteret af NCC Groups Fox-IT-forskningsteam i sidste uge, hvilket fører til 286 servere med en web-shell-bagdør.
USA, Syd Korea, UK, Canada, Spanien, Colombia, Malaysia, Italien, Indien, og Panama er de lande, der er hårdest ramt. Fra februar 20, 2023, 146 R1Soft-servere forbliver bagdøre. Fox-IT har også rapporteret, at modstanderen var i stand til at eksfiltrere VPN-konfigurationsfiler, IT-administrationsoplysninger, og andre følsomme dokumenter under kompromiset.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: