Accueil > Nouvelles Cyber > CVE-2022-36537: Vulnérabilité du framework ZK exploitée à l'état sauvage
CYBER NOUVELLES

CVE-2022-36537: Vulnérabilité du framework ZK exploitée à l'état sauvage

CVE-2022-36537 est une vulnérabilité très grave dans le ZK Framework, que CISA (Agence de la cybersécurité et de la sécurité des infrastructures) vient d'être ajouté à son catalogue d'exploits. Apparemment, la vulnérabilité a été exploitée à l'état sauvage dans des attaques qui peuvent conduire à la récupération d'informations sensibles via des requêtes spécialement conçues.

CVE-2022-36537 Détails

Les versions concernées sont les suivantes: Cadre ZK 9.6.1, 9.6.0.1, 9.5.1.3, 9.0.1.2, et 8.6.4.1. Selon l'agence de sécurité, "Ce type de vulnérabilité est un vecteur d'attaque fréquent pour les cyber-acteurs malveillants et pose un risque important pour l'entreprise fédérale." Suite à cette exploitation, CISA a ajouté CVE-2022-36537 à son Catalogue des vulnérabilités exploitées connues.

CVE-2022-36537- ZK Framework Vulnerability Exploited in the Wild-sensorstechforum

Qu'est-ce que le cadre ZK?

ZK est une source ouverte, Framework basé sur Java pour le développement d'applications Web Ajax qui permettent aux utilisateurs de créer des interfaces utilisateur graphiques sans connaissances approfondies en programmation. Son cœur est un mécanisme Ajax piloté par les événements, soutenu par 123 XUL et 83 Composants XHTML, et un langage de balisage pour la conception d'interfaces utilisateur.

ZK utilise une méthodologie centrée sur le serveur qui permet au moteur de gérer la synchronisation du contenu des composants et la canalisation des événements entre les clients et les serveurs, tout en rendant les codes de plomberie Ajax transparents pour les développeurs d'applications Web.




CISA a déclaré que le ZK Framework est un framework Java open source, et que cette vulnérabilité peut affecter plusieurs produits, Y compris ConnectWise Gestionnaire de sauvegarde du serveur R1Soft, bien que non limité à cela.

CVE-2022-36537: Impact et aperçu des attaques

En mai 2022, la vulnérabilité a été corrigée dans les versions 9.6.2, 9.6.0.2, 9.5.1.4, 9.0.1.3, et 8.6.4.2. Cependant, dans Octobre 2022 Huntress a pu militariser la vulnérabilité avec une preuve de concept (PoC) contourner l'authentification, télécharger un pilote de base de données JDBC dérobé, et déployer des rançongiciels sur les endpoints sensibles.

Numen Cyber Labs, basé à Singapour, a ensuite publié son propre PoC en décembre 2022, et trouvé plus de 4,000 Instances Server Backup Manager exposées sur Internet. Par la suite, la vulnérabilité a fait l'objet d'une exploitation massive, comme l'a rapporté l'équipe de recherche Fox-IT du groupe NCC la semaine dernière, menant à 286 serveurs avec une porte dérobée Web Shell.

Les É.U, Corée du Sud, Royaume-Uni, Canada, Espagne, Colombie, Malaisie, Italie, Inde, et le Panama sont les pays les plus touchés. Dès février 20, 2023, 146 Les serveurs R1Soft restent backdoor. Fox-IT a également signalé que l'adversaire avait pu exfiltrer des fichiers de configuration VPN, Informations sur l'administration informatique, et autres documents sensibles lors de la compromission.

Milena Dimitrova

Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim

Plus de messages

Suivez-moi:
Gazouillement

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont marqués *

This website uses cookies to improve user experience. By using our website you consent to all cookies in accordance with our politique de confidentialité.
Je suis d'accord