CVE-2022-36537 è una vulnerabilità molto grave nel framework ZK, quel CIAS (Agenzia per la sicurezza informatica e delle infrastrutture) appena aggiunto al suo catalogo di exploit. Apparentemente, la vulnerabilità è stata sfruttata in natura in attacchi che possono portare al recupero di informazioni sensibili tramite richieste appositamente predisposte.
CVE-2022-36537 Dettagli
Le versioni interessate sono le seguenti: Quadro ZK 9.6.1, 9.6.0.1, 9.5.1.3, 9.0.1.2, e 8.6.4.1. Secondo l'agenzia di sicurezza, "questo tipo di vulnerabilità è un vettore di attacco frequente per gli attori informatici malintenzionati e rappresenta un rischio significativo per l'impresa federale". Come risultato di questo sfruttamento, CISA ha aggiunto CVE-2022-36537 al suo Catalogo delle vulnerabilità sfruttate note.
Cos'è ZK Framework?
ZK è un open-source, Framework basato su Java per lo sviluppo di applicazioni Web Ajax che consentono agli utenti di creare interfacce utente grafiche senza una conoscenza approfondita della programmazione. Il suo nucleo è un meccanismo Ajax guidato dagli eventi, sostenuta da 123 XUL e 83 Componenti XHTML, e un linguaggio di markup per la progettazione di interfacce utente.
ZK utilizza una metodologia incentrata sul server che consente al motore di gestire la sincronizzazione dei contenuti dei componenti e il pipe-lining degli eventi tra client e server, rendendo anche i codici idraulici Ajax trasparenti per gli sviluppatori di applicazioni web.
CISA ha affermato che ZK Framework è un framework Java open source, e che questa vulnerabilità può interessare più prodotti, Compreso ConnectWise Gestore di backup del server R1Soft, anche se non limitato ad esso.
CVE-2022-36537: Impatto e panoramica degli attacchi
A maggio 2022, la vulnerabilità è stata corretta nelle versioni 9.6.2, 9.6.0.2, 9.5.1.4, 9.0.1.3, e 8.6.4.2. Tuttavia, nel mese di ottobre 2022 Huntress è stata in grado di armare la vulnerabilità con una prova di concetto (PoC) per bypassare l'autenticazione, caricare un driver di database JDBC con backdoor, e distribuire ransomware su endpoint sensibili.
Numen Cyber Labs, con sede a Singapore, ha poi pubblicato il proprio PoC a dicembre 2022, e ho trovato più di 4,000 Istanze di Server Backup Manager esposte su Internet. Successivamente, la vulnerabilità è stata oggetto di sfruttamento di massa, come riportato dal team di ricerca Fox-IT di NCC Group la scorsa settimana, che porta a 286 server con una backdoor web shell.
Gli Stati Uniti, Corea del Sud, Regno Unito, Canada, Spagna, Colombia, Malaysia, Italia, India, e Panama sono i paesi più colpiti. A partire da febbraio 20, 2023, 146 I server R1Soft rimangono backdoor. Fox-IT ha anche riferito che l'avversario è stato in grado di esfiltrare i file di configurazione della VPN, Informazioni sull'amministrazione informatica, e altri documenti sensibili durante la compromissione.