CVE-2022-36537 ist eine sehr schwerwiegende Schwachstelle im ZK Framework, dass CISA (Agentur für Cybersicherheit und Infrastruktursicherheit) gerade zu seinem Exploit-Katalog hinzugefügt. Offenbar, Die Schwachstelle wurde in freier Wildbahn bei Angriffen ausgenutzt, die dazu führen können, dass sensible Informationen über speziell gestaltete Anfragen abgerufen werden.
CVE-2022-36537-Details
Betroffene Versionen sind die folgenden: ZK-Framework 9.6.1, 9.6.0.1, 9.5.1.3, 9.0.1.2, und 8.6.4.1. Nach Angaben des Sicherheitsdienstes, „Diese Art von Schwachstelle ist ein häufiger Angriffsvektor für böswillige Cyber-Akteure und stellt ein erhebliches Risiko für das Bundesunternehmen dar.“ Als Ergebnis dieser Ausbeutung, CISA hat CVE-2022-36537 zu seinem hinzugefügt Katalog bekannter ausgenutzter Schwachstellen.
Was ist ZK Framework?
ZK ist Open-Source, Java-basiertes Framework zur Entwicklung von Ajax-Webanwendungen, mit denen Benutzer grafische Benutzeroberflächen ohne umfangreiche Programmierkenntnisse erstellen können. Sein Kern ist ein ereignisgesteuerter Ajax-Mechanismus, unterstützt von 123 XUL und 83 XHTML-Komponenten, und eine Auszeichnungssprache zum Entwerfen von Benutzerschnittstellen.
ZK verwendet eine serverzentrierte Methodik, die es der Engine ermöglicht, die Inhaltssynchronisierung von Komponenten und die Ereignis-Pipeline zwischen Clients und Servern zu verwalten, und gleichzeitig Ajax-Installationscodes für Entwickler von Webanwendungen transparent machen.
CISA gab an, dass das ZK-Framework ein Open-Source-Java-Framework ist, und dass diese Schwachstelle mehrere Produkte betreffen kann, Inklusive ConnectWise R1Soft Server Backup Manager, wenn auch nicht darauf beschränkt.
CVE-2022-36537: Auswirkung und Überblick über Angriffe
Im Mai 2022, die Schwachstelle wurde in Versionen gepatcht 9.6.2, 9.6.0.2, 9.5.1.4, 9.0.1.3, und 8.6.4.2. Jedoch, im Oktober 2022 Huntress konnte die Schwachstelle mit einem Proof-of-Concept bewaffnen (PoC) Authentifizierung zu umgehen, Laden Sie einen Backdoor-JDBC-Datenbanktreiber hoch, und Ransomware auf anfälligen Endpunkten bereitstellen.
Die in Singapur ansässigen Numen Cyber Labs veröffentlichten dann im Dezember ihren eigenen PoC 2022, und fand mehr als 4,000 Server Backup Manager-Instanzen, die im Internet verfügbar gemacht werden. Anschließend, Die Schwachstelle wurde massenhaft ausgenutzt, wie letzte Woche vom Fox-IT-Forschungsteam der NCC Group gemeldet wurde, was zu 286 Server mit einer Web-Shell-Hintertür.
Die US-, Südkorea, Großbritannien, Kanada, Spanien, Kolumbien, Malaysia, Italien, Indien, und Panama sind die am stärksten betroffenen Länder. Ab Februar 20, 2023, 146 R1Soft-Server bleiben durch Backdoors geschützt. Fox-IT hat auch berichtet, dass der Angreifer VPN-Konfigurationsdateien exfiltrieren konnte, Informationen zur IT-Administration, und andere sensible Dokumente während der Kompromittierung.