CVE-2022-36537 es una vulnerabilidad muy grave en ZK Framework, que CISA (Agencia de Seguridad de Infraestructura y Ciberseguridad) recién agregado a su catálogo de exploits. Al parecer,, la vulnerabilidad se ha aprovechado en la naturaleza en ataques que pueden conducir a la recuperación de información confidencial a través de solicitudes especialmente diseñadas.
CVE-2022-36537 Detalles
Las versiones afectadas son las siguientes: Marco ZK 9.6.1, 9.6.0.1, 9.5.1.3, 9.0.1.2, y 8.6.4.1. Según la Agencia de Seguridad, “este tipo de vulnerabilidad es un vector de ataque frecuente para ciberactores maliciosos y representa un riesgo significativo para la empresa federal”. Como resultado de esta explotación, CISA agregó CVE-2022-36537 a su Catálogo de vulnerabilidades explotadas conocidas.
¿Qué es el marco ZK??
ZK es un código abierto, Marco basado en Java para desarrollar aplicaciones web Ajax que permiten a los usuarios crear interfaces gráficas de usuario sin un amplio conocimiento de programación. Su núcleo es un mecanismo Ajax basado en eventos., respaldado por 123 XUL y 83 Componentes XHTML, y un lenguaje de marcado para diseñar interfaces de usuario.
ZK emplea una metodología centrada en el servidor que permite que el motor administre la sincronización de contenido de los componentes y la canalización de eventos entre clientes y servidores., al tiempo que hace que los códigos de plomería de Ajax sean transparentes para los desarrolladores de aplicaciones web.
CISA declaró que ZK Framework es un marco Java de código abierto, y que esta vulnerabilidad puede afectar a múltiples productos, Incluido Conectar Sabio Administrador de copia de seguridad del servidor R1Soft, aunque no se limite a ello.
CVE-2022-36537: Impacto y descripción general de los ataques
En Mayo 2022, la vulnerabilidad fue parcheada en versiones 9.6.2, 9.6.0.2, 9.5.1.4, 9.0.1.3, y 8.6.4.2. Sin embargo, en octubre 2022 Huntress pudo armar la vulnerabilidad con una prueba de concepto (PoC) para omitir la autenticación, cargue un controlador de base de datos JDBC con puerta trasera, e implementar ransomware en puntos finales susceptibles.
Numen Cyber Labs, con sede en Singapur, luego publicó su propia PoC en diciembre 2022, y encontré más de 4,000 Instancias de Server Backup Manager expuestas en Internet. Después, la vulnerabilidad fue explotada masivamente según lo informado por el equipo de investigación Fox-IT de NCC Group la semana pasada, llevando a 286 servidores con una puerta trasera web shell.
Los EE.UU, Corea del Sur, el Reino Unido, Canada, España, Colombia, Malasia, Italia, India, y Panamá son los países más afectados. a partir de febrero 20, 2023, 146 Los servidores R1Soft permanecen con puerta trasera. Fox-IT también informó que el adversario pudo exfiltrar los archivos de configuración de VPN, información de administración de TI, y otros documentos confidenciales durante el compromiso.
Milena Dimitrova
Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim
Sígueme: